Mac-Malware in Word-Dokument entdeckt

Sicherheitsforscher haben eine neue Schadsoftware entdeckt, die sich gegen Apples Desktopbetriebssystem macOS richtet. Sie versteckt sich in einem Word-Dokument, das sich inhaltlich angeblich mit der Wahl des US-Präsidenten Donald Trump beschäftigt, wie AppleInsider berichtet. Eine Gefahr besteht vor allem für Nutzer, die die Ausführung von Makros in Office-Dokumenten aktiviert haben.

Ab Werk warnt Microsoft Word beim Öffnen eines Dokuments davor, enthaltene Makros zu aktivieren. Wird diese Warnung missachtet oder ist sie nicht aktiv, wird beim Öffnen des fraglichen Dokuments ein Python-Skript ausgeführt. Es prüft, ob das Sicherheitstool Little Snitch aktiv ist. Andernfalls lädt es im Hintergrund und ohne weitere Interaktion mit dem Nutzer weiteren Schadcode von einer vorgegebenen URL und führt ihn aus.

Das Python-Skript stammt den Forschern zufolge aus dem Open-Source-Project EmPyre, einem Post-Exploitation-Framework. Das Skript hätten die Cyberkriminellen nahezu „Wort für Wort“ übernommen.

Der anschließend geladene Schadcode habe indes nicht für eine Analyse zur Verfügung gestanden. Komponenten von EmPyre legten jedoch die Vermutung nahe, dass die Malware versuche, sich auf einem Mac einzunisten, um bei jedem Start automatisch ausgeführt zu werden und anschließend Funktionen auf Basis verschiedener EmPyre-Module auszuführen.

Die Module wiederum böten den Hackern zahlreiche Optionen für die Sammlung vertraulicher Daten. Darunter seien Keylogger oder Tools für das Auslesen der Zwischenablage oder das Anfertigen von Screenshots. Auch unerlaubte Zugriffe auf iMessage und eine angeschlossene Webcam seien möglich.

Der Sicherheitsforscher Patrick Wardle beschreibt die Malware als „nicht besonders fortschrittlich“, da ein Nutzer zuerst die Ausführung von Macros erlauben müsse. Mit dem Nutzer nähmen die Hacker jedoch das „schwächste Glied“ in der Sicherheitskette ins Visier. Zudem nutzten sie eine legitime Funktion von Makros, um daraus einen Angriffsvektor zu machen, der sich nicht patchen lasse.

In Dokumenten eingebetteter Schadcode – auch in Form eines Makros – ist in der Windows-Welt eine gängige Angriffsmethode. Obwohl sie auf die Mitwirkung des Nutzers angewiesen ist, ist sie weit verbreitet. Ein frühes Beispiel ist der 1999 entdeckte Virus „Melissa„, der sich über ein Word-Makro verbreitete.

AppleInsider weist noch auf einen weiteren Schädling für macOS hin, der derzeit im Umlauf ist. Die Malware MacDownloader, die angeblich von iranischen Hackern stammt, nutzt eine gefälschte Raumfahrt-Website sowie ein falsches Flash-Update, um Vertreter der US-Rüstungsindustrie sowie Menschenrechtsaktivisten anzugreifen.