Mac-Malware Proton verbreitet sich über gefälschten Symantec-Blog

Der als OSX.Proton bekannte Mac-Trojaner hat es mit einer trickreichen Masche geschafft, sich erneut zu verbreiten. Die Methode beruht auf einem gefälschten Blog des Sicherheitsanbieters Symantec und über Twitter verbreiteten Falschnachrichten. Unklar ist, inwieweit die fraglichen Twitter-Konten zuvor für die Verbreitung der Fake News gehackt wurden.

Der Blog war nicht nur geschickt gefälscht, sondern hielt auch gespiegelte Inhalte der echten Publikation von Symantec bereit. Er verfügte sogar über ein legitimes SSL-Zertifikat, das allerdings von Comodo und nicht von Symantecs eigener Zertifizierungsstelle ausgegeben wurde. Bei genauerem Hinsehen hätte außerdem noch eine eigenartige E-Mail-Adresse auffallen können, mit der die Fake-Webdomain registriert wurde. Der Sicherheitsforscher @noarfromspace bemerkte jedoch, dass darüber Proton verbreitet wurde, und schlug Alarm.

Proton sorgte schon im Mai 2017 für Schlagzeilen, als es Unbekannten gelang, die Malware über das Video-Tool Handbrake für Mac zu verbreiten. Die Handbrake-Entwickler wiesen damals in einer Sicherheitswarnung darauf hin, dass einer ihrer Download-Server von Hackern kompromittiert wurde, die in der Folge den Trojaner in das Installationspaket einschleusen konnten. Im Oktober kam der nächste Schlag, als sich die Malware erneut über manipulierte Software-Downloads verbreitete. Diesmal gelang es den Hintermännern, eine JavaScript-Bibliothek als Einfallstor zu nutzen und den Remote Access Trojan Proton in Downloads der Mediensoftware Elmedia Player sowie des zugehörigen Downloaders einzuschleusen.

Proton installiert eine Hintertür, die es Angreifern erlaubt, nahezu die vollständige Kontrolle über ein System zu übernehmen. Unter anderem hat er Zugriff auf Browserdaten, Daten von Keychain, Tastatureingaben – und damit auch auf Nutzernamen und Passwörter, auf die es der Trojaner insbesondere abgesehen hat.

Die Malware gibt sich als Symantec-Tool aus (Bild: Malwarebytes).

Für die aktuelle Attacke setzten die Angreifer den gefälschten Symantec-Blog ein, um mit einer offenbar erfundenen Geschichte zum Download einer angeblichen Software für Malware-Erkennung zu verleiten. Sie behaupteten in einem Blogeintrag, eine gefährliche neue Variante von CoinThief sei aufgetaucht, einer 2014 virulenten Malware. Der Blog empfahl deshalb Download und Installation eines Programms namens „Symantec Malware Detector“, das angeblich die Malware erkennen und entfernen sollte.

Ein solches Programm der Sicherheitsfirma gibt es allerdings nicht, vielmehr diente es selbst der Infektion mit der Mac-Malware Proton. Beim Start zeigte die bösartige gefälschte Anwendung, die mit einem Zertifikat signiert war, ein einfaches Fenster mit Symantec-Logo an. Wer hier abbrach, konnte die Infektion noch vermeiden, führt jetzt Malwarebytes aus. Wer sich jedoch schon zu Download und Öffnung der Anwendung habe bewegen lassen, wäre an diesem Punkt wohl nicht mehr abgesprungen.

Klickte der Anwender nun die Schaltfläche für „Überprüfen“ an, verlangte die vorgetäuschte Anwendung von ihm die Eingabe des Admin-Passworts. Wurde es gegeben, zeigte die Software einen Fortschrittsbalken für das angebliche Scannen des Computers an – und installierte tatsächlich Proton. Die Malware begann anschließend damit, Informationen abzufangen einschließlich dem Admin-Passwort des Nutzers im Klartext. Mit eingefangen wurden außerdem Keychain-Dateien, Browserdaten, 1Password-Tresor und GPG-Passwörter. Zusammen mit vielen weiteren, persönlich identifizierenden Informationen landete alles in einer versteckten Datei, um an die Hintermänner übermittelt zu werden.

Die Adresse des gefälschten Symantec-Blogs ist nicht mehr erreichbar. Apple hat die Malware inzwischen bemerkt und das Zertifikat widerrufen, mit dem sie signiert wurde. Das verhindert künftige Infektionen, macht jedoch eine bereits erfolgte Kompromittierung nicht rückgängig. Malwarebytes für Mac kann die Infektion entfernen, auch gibt der Sicherheitsanbieter in seiner Bedrohungsanalyse Hinweise zu einer einfachen manuellen Entfernung.

Damit allein ist es aber für betroffene Anwender noch nicht getan, da Proton ganz auf das Entwenden von Anmeldedaten ausgerichtet ist. „Sie sollten alle Online-Passwörter als kompromittiert ansehen und sie alle ändern“, mahnt Thomas Reed von Malwarebytes. Auch an andere sensible Informationen sei zu denken, etwa gespeicherte Kreditkartendaten in der Keychain. Grundsätzlich empfiehlt er zudem die Aktivierung von Zwei-Faktor-Authentifizierung, wo immer das möglich ist, um die Auswirkung möglicher künftiger Sicherheitsverletzungen zu minimieren.

WEBINAR

Ransomware Protection: Praxisleitfaden für den Schutz ihres Unternehmens

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in dem 60-minütigen Webinar die neue Sicherheitslösung Malwarebytes Endpoint Protection vor, die ein mehrstufiges Sicherheitskonzept enthält und damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen Angriffen bietet.

ZDNet.de Redaktion

Recent Posts

SEO-Beratung von Spezialisten wie WOXOW: Deshalb wird sie immer wichtiger

Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…

9 Stunden ago

Umfrage: Weniger als die Hälfte der digitalen Initiativen sind erfolgreich

Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…

10 Stunden ago

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

1 Tag ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

1 Tag ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

1 Tag ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Tagen ago