Neue Variante der Malware OSX.Dok entdeckt

Auf die Meldung eines ausgeklügelten Mac-Trojaners namens OSX.Dok folgt die Entdeckung einer weiteren Variante des OSX.Dok-Droppers. Das ursprüngliche OSX.Dok wurde letzte Woche von Check Point gemeldet, verbreitete sich über E-Mail-Anhänge und konnte auf infizierten Systemen selbst gesicherte HTTPS-Verbindungen belauschen. Ein Sicherheitsforscher von Malwarebytes berichtet jetzt von einer Variante des Trägerprogramms, die sich ganz unterschiedllich verhält und eine ganz andere Schadsoftware installiert.

Auch dieser Dropper ist als Anwendung namens Dokument.app in einem Archiv verpackt und versucht sich als Dokument zu tarnen. Signiert ist diese mit demselben Zertifikat wie zuvor, dessen Gültigkeit inzwischen von Apple aufgehoben wurde. Wie die vorhergehende Variante kopiert sie sich selbst zu /Users/Shared/AppStore.app und gibt dieselbe Warnung aus, die eine beschädigte Anwendung vorgibt.

Die neue Variante zeigt jedoch nie das gefälschte Fenster über angeblich erhältliche OSX-Updates, das den ganzen Bildschirm einnimmt. Stattdessen schließt sie sich nach ungefähr einer Minute und löscht sich selbst. Statt OSX.Dok zu installieren, richtet sie eine Open-Source-Hintertür namens Bella ein.

Bella wurde von einem Autor geschaffen, der sich auf GitHub nur als „Noah“ bezeichnet. Er veröffentlichte dort Python-Scripts, die beispielsweise iCloud-Anmeldedaten oder Kreditkarteninformationen aus Chrome abgreifen können. Bei dem im Februar dieses Jahres veröffentlichten Bella handelt sich sich um ein Python-Script mit weitreichenden Fähigkeiten. Dazu zählen Passwort-Phishing, das Mitschneiden von Mikrofon- und Webcam-Aufnahmen, die Anfertigung von Screenshots sowie die Exfiltration von Keychain und iMessage-Protokollen. Bis macOS 10.12.1 kann es sich über Schwachstellen im Betriebssystem sogar Root-Berichtigungen holen.

Ein Script namens Builder erlaubt die Anpassung von Bella. Die hier entdeckte Version wurde für die Verbindungsaufnahme mit einem bestimmten Kommando- und Kontrollserver konfiguriert, dessen IP-Adresse auf Moskau verweist. Unklar ist, ob der Bella-Autor selbst mit den Angreifern zu tun hat. Seine Scripts könnten einfach von Hackern für ihre Zwecke eingesetzt worden sein, da die Software als Open Source frei verfügbar ist.

Malwarebytes bezeichnet diese Malware als OSX.Bella. Beruhigend ist, dass sie seit dem Widerruf des Code-Signing-Zertifikats nicht mehr für neue Infektionen sorgen kann. Wer jedoch zuvor infiziert wurde, sollte nach Entfernung der Schadsoftware auch alle Passwörter ändern. Geschäftliche Nutzer weisen die Sicherheitsforscher darauf hin, dass diese Malware in der Lage ist, Unternehmensdaten in großem Umfang abzugreifen.