Auf die Meldung eines ausgeklügelten Mac-Trojaners namens OSX.Dok folgt die Entdeckung einer weiteren Variante des OSX.Dok-Droppers. Das ursprüngliche OSX.Dok wurde letzte Woche von Check Point gemeldet, verbreitete sich über E-Mail-Anhänge und konnte auf infizierten Systemen selbst gesicherte HTTPS-Verbindungen belauschen. Ein Sicherheitsforscher von Malwarebytes berichtet jetzt von einer Variante des Trägerprogramms, die sich ganz unterschiedllich verhält und eine ganz andere Schadsoftware installiert.
Auch dieser Dropper ist als Anwendung namens Dokument.app in einem Archiv verpackt und versucht sich als Dokument zu tarnen. Signiert ist diese mit demselben Zertifikat wie zuvor, dessen Gültigkeit inzwischen von Apple aufgehoben wurde. Wie die vorhergehende Variante kopiert sie sich selbst zu /Users/Shared/AppStore.app und gibt dieselbe Warnung aus, die eine beschädigte Anwendung vorgibt.
Die neue Variante zeigt jedoch nie das gefälschte Fenster über angeblich erhältliche OSX-Updates, das den ganzen Bildschirm einnimmt. Stattdessen schließt sie sich nach ungefähr einer Minute und löscht sich selbst. Statt OSX.Dok zu installieren, richtet sie eine Open-Source-Hintertür namens Bella ein.
Bella wurde von einem Autor geschaffen, der sich auf GitHub nur als „Noah“ bezeichnet. Er veröffentlichte dort Python-Scripts, die beispielsweise iCloud-Anmeldedaten oder Kreditkarteninformationen aus Chrome abgreifen können. Bei dem im Februar dieses Jahres veröffentlichten Bella handelt sich sich um ein Python-Script mit weitreichenden Fähigkeiten. Dazu zählen Passwort-Phishing, das Mitschneiden von Mikrofon- und Webcam-Aufnahmen, die Anfertigung von Screenshots sowie die Exfiltration von Keychain und iMessage-Protokollen. Bis macOS 10.12.1 kann es sich über Schwachstellen im Betriebssystem sogar Root-Berichtigungen holen.
Ein Script namens Builder erlaubt die Anpassung von Bella. Die hier entdeckte Version wurde für die Verbindungsaufnahme mit einem bestimmten Kommando- und Kontrollserver konfiguriert, dessen IP-Adresse auf Moskau verweist. Unklar ist, ob der Bella-Autor selbst mit den Angreifern zu tun hat. Seine Scripts könnten einfach von Hackern für ihre Zwecke eingesetzt worden sein, da die Software als Open Source frei verfügbar ist.
Malwarebytes bezeichnet diese Malware als OSX.Bella. Beruhigend ist, dass sie seit dem Widerruf des Code-Signing-Zertifikats nicht mehr für neue Infektionen sorgen kann. Wer jedoch zuvor infiziert wurde, sollte nach Entfernung der Schadsoftware auch alle Passwörter ändern. Geschäftliche Nutzer weisen die Sicherheitsforscher darauf hin, dass diese Malware in der Lage ist, Unternehmensdaten in großem Umfang abzugreifen.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.
Eine schwerwiegende Anfälligkeit hebelt die Sicherheitsfunktion Seitenisolierung auf. Betroffen sind Chrome für Windows, macOS und…
DeepL Voice ermöglicht Live‑Übersetzung von Meetings und Gesprächen in 13 Sprachen.
