Categories: SicherheitVirus

Windows-App umgeht Gatekeeper und infiziert Macs mit Malware

Trend Micro hat eine neue Schadsoftware für Apples Desktopbetriebssystem macOS entdeckt. Die Datei mit der Endung „.exe“, die eigentlich auf Macs eine Fehlermeldung auslösen sollte, ist stattdessen in der Lage, Schutzfunktionen wie Gatekeeper zu umgehen, um eine Malware einzuschleusen. Dabei macht sich die EXE-Datei den Umstand zu Nutze, dass Gatekeeper EXE nicht als ausführbare Datei einstuft und von daher erst gar nicht prüft.

Das von den Forschern untersuchte Muster ist ein Installer für die für Windows und macOS erhältliche Firewall-App Little Snitch, die über Torrent-Websites verteilt wird. Dort wird sie auch unter den Namen anderer Anwendungen wie Paragon NTFS für Mac OS Sierra oder Wondershare Filmora angeboten – offenbar soll es sich jeweils um Raubkopien der genannten Anwendungen handeln.

Die per Torrent heruntergeladene Datei liegt als ZIP-Archiv vor, das unabhängig vom Dateinamen eine Setup.dmg genannte Datei enthält. In ihr wiederum versteckt sich die schädliche EXE-Datei. Wird die Setup-Datei gestartet, wird durch das ebenfalls enthaltene Mono-Framework auch die EXE-Datei ausgeführt – das Mono-Framework erlaubt die Nutzung von .NET-Anwendungen unter macOS.

Die Malware sammelt schließlich Informationen über den infizierten Mac wie Modellname, Prozessortyp und –geschwindigkeit, Speicher, Boot-ROM-Version, Seriennummer und UUID. Zudem stellt sie eine Liste aller installierten Anwendungen zusammen und überträgt alle Daten an einen Befehlsserver. Im Gegenzug werden unerwünschte Adware-Apps heruntergeladen und installiert, die sich unter anderem als Little Snitch oder auch als Adobe Flash Player ausgeben.

„Wir vermuten, dass diese spezifische Malware als Ausweichtechnik für andere Angriffs- oder Infektionsversuche verwendet werden kann, um einige eingebaute Sicherheitsvorkehrungen wie digitale Zertifikatsprüfungen zu umgehen, da es sich um eine nicht unterstützte binäre ausführbare Datei in Mac-Systemen handelt“, lautet das Fazit von Trend Micro. „Wir glauben, dass die Cyberkriminellen noch immer die Entwicklung und die Möglichkeiten dieser Malware untersuchen, die in Apps gebündelt und in Torrent-Sites verfügbar ist, und deshalb werden wir weiter untersuchen, wie Cyberkriminelle diese Informationen und Routinen nutzen können.“

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

1 Tag ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

1 Tag ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago