Malwarebytes meldet massiven Anstieg von Mac-Malware

Malwarebytes hat im ersten Quartal 2019 einen massiven Anstieg von Mac-spezifischer Malware registriert. Die Zahl der erkannten Schadprogramme erhöhte sich gegenüber dem Vorquartal um 62 Prozent. Die meiste Schadsoftware wiederum fiel in die Kategorie Adware, mit einem Wachstum von 201 Prozent im Vergleich zum vierten Quartal 2018.

Das Malware-Ranking wurde im ersten Quartal von einem potentiell unerwünschten Programm (PUP) namens PCVARK angeführt. Der bisherige Spitzenreiter MacKeeper rutschte auf den zweiten Platz ab. MacBooster und MPlayerX, vormals Platz zwei und Platz drei, finden sich aktuell auf dem dritten beziehungsweise siebten Rang wieder. Neu in den Top Ten ist indes die Adware NewTab, die sich von Platz 60 auf Platz vier verbesserte.

Mac-Nutzer mussten sich dem Bericht zufolge aber nicht nur mit einem höheren Malware-Aufkommen auseinandersetzen, sondern auch mit neuen Angriffsmethoden. Unter anderem wurden Macs im ersten Quartal durch Open-Source-Code bedroht, aus dem Cyberkriminelle Hintertüren und Cryptominer entwickelten, sowie von ausführbaren Windows-Dateien für den Mac-Desktop. Cryptomining war demnach, im Gegensatz zu anderen Plattformen, unter macOS auf dem Vormarsch.

Wenn es um Open-Source-Code geht, setzen Entwickler von Mac-Malware vor allem auf Python. Als Beispiele nannte Malwarebytes die Hintertüren EvilOSX, EggShell und EmPyre, die sich seit Ende 2019 stärker verbreiten. Auch bei Adware komme das Open-Source-Python-Programm MITMProxy zum Einsatz, das Netzwerktraffic inclusive verschlüsseltem Datenverkehr abfange.

Malwarebytes verweist aber auch auf die von Trend Micro im Februar entdeckte Mac-Malware, die die Windows-Dateiendung .EXE für ausführbare Dateien nutzt, um Schadsoftware an Apples Schutzfunktion Gatekeeper vorbei einzuschleusen. Gatekeeper stuft EXE-Dateien nämlich nicht als ausführbar ein und prüft sie von daher erst gar nicht. Handelt es sich bei einer EXE-Datei jedoch um eine .NET-Anwendung, wird sie unter macOS lauffähig, sobald das Mono-Framework zum Einsatz kommt – was in dem von Trend Micro dokumentierten Fall zusammen mit der Schadsoftware ausgeliefert wurde.

Allerdings weist Malwarebytes darauf hin, dass die EXE-Datei wahrscheinlich nicht eingesetzt wurde, um Gatekeeper auszutricksen. Da die Datei in einem Apple-Installer versteckt war und erst nach Ausführung des Installers aktiv wurde, war laut Malwarebytes auch bereits Gatekeeper überwunden. Die EXE-Datei hätten die Hintermänner wahrscheinlich nur benutzt, um eine vorhandene Windows-Malware nicht für macOS neu schreiben zu müssen.