Sicherheitsforscher warnt vor neuer Variante der Mac-Malware Fruitfly

Patrick Wardle, Chief Security Researcher beim Sicherheitsanbieter Synack, hat eine neue Variante der Mac-Malware Fruitfly untersucht. Die erstmals im Januar entdeckte Schadsoftware erlaubt es Hackern, aus der Ferne die vollständige Kontrolle über einen infizierten Apple-Computer zu übernehmen. Unter anderem sind Zugriffe auf Dateien, Webcam, Bildschirm, Tastatur und Maus möglich.

Fruitfly blieb Wardle zufolge wahrscheinlich über einen Zeitraum von mehreren Jahren unentdeckt, da „die heutige Mac-Sicherheitssoftware oftmals recht ineffektiv ist“. Auf sie aufmerksam wurden Sicherheitsforscher von Malwarebytes bei der Analyse einer Sicherheitslücke in macOS, die für zielgerichtete Angriffe benutzt wurde.

Apple habe die fragliche Schwachstelle in seinem Betriebssystem zwar beseitigt, es sei aber nicht klar, ob Macs mit aktuellen OS-Versionen immun gegen die neuen Fruitfly-Varianten seien. Vor den frühen Versionen seien Macs jedoch inzwischen geschützt.

Rund 90 Prozent der Opfer von Fruitfly finden sich offenbar in den USA. Wardle vermutet, dass es sich um einen Einzeltäter handelt und nicht um Hacker, die mit staatlicher Unterstützung handeln. Sein Ziel sei es, Nutzer auszuspähen, um „perverse“ Bedürfnisse zu befriedigen. Zur Zahl der Betroffenen wollte Wardle keine Schätzung abgeben, er gehe aber davon aus, dass Fruitfly nicht sehr weit verbreitet sei.

„Ich glaube, dass der Angreifer verschollen ist“, ergänzte Wardle. „Ich glaube also nicht, dass Leute weiterhin mit der Malware angegriffen werden. Wahrscheinlich war auch eine Interaktion mit dem Nutzer erforderlich, um einen Mac zu infizieren. Aber die Malware selbst läuft immer noch auf macOS.“

Für seine Analyse entwickelte Wardle einen eigenen Befehlsserver, um die Kommunikation der Malware aufzeichnen zu können und ihre Funktionen zu dokumentieren. „Das interessanteste Feature ist, dass die Malware eine Benachrichtigung schicken kann, wenn ein Nutzer aktiv ist“, so Wardle weiter. Das erlaube es dem Angreifer, sich zurückzuziehen und einer Erkennung zu entgehen. „Das habe ich vorher noch nicht gesehen.“

Eine Liste mit Opfern der Malware, deren Macs sich zwischenzeitlich mit seinem Befehlsserver verbanden, hat Wardle inzwischen an Strafermittler übergeben. „Man muss erkennen, dass man auch als gewöhnlicher Nutzer das Opfer von wirklich heimtückischen Angriffen werden kann. Das ist ein weiterer Beleg dafür, dass Macs genauso angreifbar sind wie andere Computer.“

Anfang Juli hatte Malwarebytes vor einer zunehmenden Bedrohung für Apple-Nutzer gewarnt. Seinen Untersuchungen zufolge zielte im letzten Quartal eine schnell wachsende Zahl von Schadprogrammen auf Mac-Anwender. Malwarebytes verzeichnete in diesem Zeitraum so viele Angriffe auf Mac-Rechner wie im gesamten Jahr 2016.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.