Kaspersky warnt vor OS-X-Version der Backdoor Mokes

Das in C++ geschriebene Schadprogramm nutzt das Framework Qt, um aus verschiedenen Plattformen lauffähig zu sein. Es war schon unter Linux und WIndows bekannt. Auch auf Macs kann es beliebigen Code ausführen und stiehlt zudem Office-Dateien .

Kaspersky Lab warnt in einem Blogbeitrag vor einem Ableger der plattformübergreifend eingesetzten Schadsoftware Mokes für Mac OS OX. Das als backdoor bezeichnete Schadprogramm ermöglicht Kriminellen Fernzugriff auf den Rechner, vermeidet mit Tricks eine Enttarnung und sendet auch Daten an einen Kommandoserver.

Kaspersky Lab (Bild: Kaspersky)Die Variante bezeichnet Kaspersky als Backdoor.OSX.Mokes. Die Mokes-Familie ist seit Januar 2016 bekannt. Einschließlich der neuen Variante ist sie auf allen großen PC-Plattformen präsent, also auch unter Linux und Windows.

Kaspersky-Forscher Stefan Ortloff schreibt, sein Team sei auf eine entpackte Version des Schadprogramms für OS X gestoßen, vermute aber, dass es wie die Linux-Variante in gepackter Version verteilt wird. Das Programm ist ihm zufolge in C++ geschrieben, wobei das Cross-Platform-Applikations-Framework Qt zum Einsatz kommt. Außerdem setzt es OpenSSL ein.

Der Schadcode kopiert sich bei der ersten Ausführung in eine Reihe Systembibliotheken. Er versteckt sich dabei in für andere Apps und Dienste gedachten Ordnern, etwa denen des App Store, von Firefox, Google oder Skype. Mokes verändert auch Systemeinstellungen, um einer Entdeckung zu entgehen, und kommuniziert mit dem Kommandoserver per HTTPS über TCP-Port 80. Als Verschlüsselung nutzt es AES-256-CBC.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Kaspersky zufolge kann das Programm auf infizierten Macs beliebigen Code ausführen, was es besonders gefährlich macht. Außerdem stiehlt es zahlreiche Daten. So wird alle 30 Sekunden ein Screenshot erstellt. Auch Audio und Video-Aufzeichnungen kann es erstellen, Tastatureingaben aufzeichnen sowie auch externe Datenspeicher erkennen und plündern. Es entwendet insbesondere Office-Dokumente mit den Endungen .xls, .xlsx, .doc und .docx. Das Verhalten ist nicht immer exakt gleich, da die Hintermänner über den Kommandoserver Filter anlegen können, die das Schadprogramm konfigurieren.

Mokes macht auf infizierten Macs standardmäßig alle 30 Sekunden einen Screenshot (Bild: Kaspersky Lab).Mokes macht auf infizierten Macs standardmäßig alle 30 Sekunden einen Screenshot (Bild: Kaspersky Lab).

Es gibt noch keinen Hinweis, wie verbreitet die Backdoor ist und wie sie auf Macs gelangt. Von Apple liegt bisher kein Kommentar vor.

Backdoor-Programme für Mac OS X sind weitaus seltener als solche für Windows, aber keineswegs unbekannt. So wies Malwarebytes im Juli auf Backdoor.MAC.Eleanor hin, die offenbar speziell für Apples Desktop- und Notebook-OS erstellt wurde. Sie wurde in kostenlos angebotenen Mac-Apps entdeckt. Auch sie kann Code ausführen und Programme nachinstallieren sowie den Nutzer ausspionieren. In erster Linie haben es die Hacker auf die Facetime-Kamera abgesehen, die sie dann aus der Ferne steuern können.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Kaspersky, Mac OS X, Malware, Security, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Kaspersky warnt vor OS-X-Version der Backdoor Mokes

Kommentar hinzufügen
  • Am 9. September 2016 um 11:41 von C

    Prinzipiell müsste man Schmunzeln, wird doch den Apple-Usern erneut vor Augen geführt, dass ihre „gefühlte Sicherheit“ Nichts gilt und ihre Plattform genauso verwundbar und offen ist wie andere. Trotz gegenteiliger Behauptungen engagierter Apple Fans hier im Forum.

    Leider ist es aber so, dass die aktuell dominierenden Client-OS-Hersteller (MS, Google, Apple) mehr an ein Geschäft mit den User-Daten aus sind, anstatt ihre Produkte wirklich sicherer zu machen. Auch Apple ist auf diesem Weg unterwegs, obwohl Mr. Cook hier Gegenteiliges behauptet hat. Kennen wir aber schon das Verhalten, siehe auch Steuer-Thema. Links blinken, Rechts abbiegen.

    Die letzte Security-Meldung (USB-Hack trotz aktiviertem Sperr-Bildschirm für Windows, der AUCH bei OS X funktioniert) – zeigt den aktuellen Unsicherheits-Status auf. Die User sind gefordert Änderungen herbeizuführen, die besagten Hersteller werden von sich aus (auch wg. US Patriot Act) den Status Quo der „offenen Scheunen-Tore“ nicht verändern wollen.

  • Am 9. September 2016 um 8:44 von ckOne

    PeerH hat doch die meiste Ahnung von allem und er hat gesagt: das man Code im Hintergrund ausführt ist bei Apple und Linux unmöglich. Also entweder haben die bei Kaspersky keine Ahnung von Ihrem Handwerk oder PeerH ist der größte Dampfplauderer unter der Sonne.
    Er kennt sich weder mit MacOS noch mit Windows aus, sondern hat nur irgendwo mal was gelesen und wenn es aus einer Apple-Unterwürfigen Publikation kommt ist es die Wahrheit, wenn die Publikation auch schon mal Apple-Kritisch ist, hat Sie defacto keine Ahnung.

    • Am 9. September 2016 um 9:52 von PeerH

      Ach, Darth, weder hat PeerH das jemals behauptet, auch bei den bisherigen Schädlingen, noch wäre das wahr. wenn der User aktiv mithilft, geht Vieles.
      __
      „Es gibt noch keinen Hinweis, wie verbreitet die Backdoor ist und wie sie auf Macs gelangt.“
      Und: „… sei auf eine entpackte Version des Schadprogramms für OS X gestoßen, vermute aber, dass es wie die Linux-Variante in gepackter Version verteilt wird.“
      __
      Es wird gepackt verteilt, und muss also entpackt = installiert werden. Wer nur Pakete aus sicheren Quellen akzeptiert, das ist m.E. die Default Einstellung, wird das Tool nicht ohne deaktivieren des Gatekeepers installieren können.
      __
      Oder anders gesagt: es dürfte sehr wahrscheinlich dieser Teil des Eleanor Artikels ebenfalls zutreffen:
      „Allerdings ist die App, die nicht im Mac App Store erhältlich ist, nur eine Bedrohung für Nutzer, die Apples Sicherheitsfunktion Gatekeeper nicht verwenden. Darauf weist AppleInsider hin. „Sie ist nicht von Apple signiert, was bedeutet, dass das Gatekeeper-Tool von OS X mit den Werkseinstellungen Nutzer ausreichend schützen sollte“, schreibt der Blog.“
      __
      Sicher interessant, was da noch herauskommt, aber bisher ist das recht vage. Panik-Modus verfrüht.
      Dass Du bereits jetzt schon deutliche Zeichen von Schadenfreude zeigst, spricht Bände.
      Aber wenn es Dir einen schönen Tag bereitet, kannst Du Dir darob gerne ein Eis kaufen.

      • Am 10. September 2016 um 8:57 von ckOne

        @PeerH
        Es geht garnicht um Apple, sondern um deine ständigen Versuche uns weiszumachen , daß MacOS ein sicheres OS ist. Das stimmt de Facto nicht, es gibt kein sicheres System, ob du das wahrhaben willst oder nicht. Und wenn diese Malware (sobald Sie installiert ist) alle möglichen Anwendungen ohne Userabfrage installieren kann, dann kann das auch Apple.
        Aber das hast du noch vor kurzem wehement abgestritten, das wäre sowohl bei MacOS als auch Linux nicht möglich.
        Es ist überhaupt nicht sachdienlich zu sagen „meines Erachtens nicht möglich“, es gibt bei jedem System Schwachstellen. Und die Schadsoftwareprogrammier nutzen diese aus. Es gibt halt weniger Programmierer bei Linux und MacOS als bei Windows, weil die ja auch zusammen nur ca. 1/10 des Marktanteils von Windows haben.

        • Am 10. September 2016 um 13:35 von PeerH

          Tja: und eben darum geht es nicht – kann es nicht gehen – weil ich nie behauptet habe, es sei sicher. Aber es ist erheblich sicherER als das Windows Geraffel. Schon etliche Male geschrieben – will nicht in Deine Synapsen.
          __
          Du bemühst Dich wieder Dinge zu widerlegen, die Du mir in den Mund legst. Und merkst es nicht einmal.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *