Malwarebytes entdeckt Schwachstelle in macOS

Malwarebytes hat eine Sicherheitslücke in macOS entdeckt, die offenbar schon länger für zielgerichtete Angriffe benutzt wird. Hacker können mithilfe der Schwachstelle Schadcode einschleusen und ausführen sowie eine Hintertür auf Macs einrichten.

Entdeckt wurde die Quimitchin genannte Backdoor den Forschern zufolge von einem nicht näher genannten Administrator, der wiederum ungewöhnlichen Netzwerk-Traffic zu einem bestimmten Mac zurückverfolgen konnte. Sie besteht aus zwei Teilen: einer .plist-Datei und einer .client-Datei. Erstere sorgt dafür, dass die .client-Datei ständig ausgeführt wird. Die wiederum enthält ein verschleiertes Perl-Skript, das mit der Domain „eidk.hopto.org“ kommuniziert.

Das Perl-Skript ist in der Lage, Screenshots aufzuzeichnen, die Webcam anzuzapfen und eine Java-Class-Datei auszuführen, die nicht im Dock angezeigt wird. Die Funktionsaufrufe selbst bezeichnet Malwarebytes als „antiquiert“. „Das sind einige wirklich veraltete Funktionen, zumindest in der Technik-Welt, die aus der Zeit vor OS X stammen. Außerdem enthält die Binärdatei Code der Open-Source-Bibliothek libjpeg, die zuletzt 1998 aktualisiert wurde“, heißt es im Blog von Malwarebytes.

Die Java-Class-Datei wiederum kann die Position des Mauszeigers erfassen, sie verändern und Maus- und Tastaturklicks simulieren. „Diese Komponente scheint gedacht zu sein, um eine rudimentäre Fernbedienungsfunktion bereitzustellen.“ Ein weiteres, vom Befehlsserver nachgeladenes Perl-Skript erstelle zudem eine Übersicht aller im lokalen Netzwerk vorhandenen Geräte und erfasse zudem deren Namen, IPv4- und IPv6-Adressen sowie die verwendeten Ports. Das Skript versuche auch, Kontakt zu weiteren Geräten im Netzwerk aufzunehmen.

Eine Besonderheit der Mac-Schadsoftware ist, dass sie zahlreiche, voll funktionsfähige Linux-Shell-Befehle enthält, die die Vermutung nahelegen, dass es auch eine Linux-Variante gibt oder gab. Mithilfe der Datenbank von Virustotal fanden die Forscher jedoch nur mehrere ausführbare Windows-Dateien, die mit demselben Befehlsserver kommunizieren. Sie wurden nur einmal bei Virustotal eingereicht, und zwar zwischen Juni und Juli 2013. Aktuell werden sie nur von wenigen Antivirenprogrammen erkannt.

Im Code von Quimitchin fanden die Forscher Indizien dafür, dass die Backdoor bereits seit 2014 im Umlauf ist. Grundsätzlich sei sie zwar leicht zu erkennen und zu entfernen, die Hintermänner hätten ihren Einsatz aber offenbar auf sehr wenige Ziele im Bereich der biomedizinischen Forschung beschränkt, weswegen sie wahrscheinlich bisher nie aufgefallen sei.

Apple nennt die Schadsoftware laut Malwarebytes Fruitfly. Das Unternehmen habe bereits ein Update veröffentlicht, dass automatisch im Hintergrund heruntergeladen werde und gegen künftige Infektionen mit Fruitfly/Quimitchin schütze.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.