Categories: SicherheitVirus

Neue Mac-Malware nutzt kürzlich entdeckte Zero-Day-Schwachstelle

Sicherheitsforscher haben mit OSX/Linker eine neue Schadsoftware entdeckt. Diese nutzt eine von Apple noch nicht behobene Schwachstelle aus, mit der sich Gatekeeper umgehen lässt, der integrierte Malwareschutz von macOS. Die Lücke betrifft alle macOS-Versionen einschließlich der aktuellen Version 10.14.5 des Desktop-Betriebssystems.

Analysiert wurde OSX/Linker von Joshua Long, Chief Security Officer von Intego, das sich auf Sicherheitslösungen für macOS spezialisiert hat. In einem Blogeintrag berichtet er von Malwareproben, die Anfang Juni auftauchten und offenbar dazu dienten, konkrete Wege zur Umgehung von Apples Gatekeeper auszutesten.

Dabei eingesetzte Zertifikate verwiesen dabei auf eine Gruppe, die zuvor durch die Adware OSX/Surfbuyer aufgefallen war. Für bösartige Absichten sprach zudem, dass die präparierten Disk Images als Installer für Adobe Flash Player getarnt waren – eine der häufigsten Methoden von Malware-Autoren, Mac-Nutzer zur Installation von Malware zu verleiten.

Die zugrundeliegende Schwachstelle MacOS X GateKeeper Bypass wurde vom italienischen Sicherheitsforscher Filippo Cavallarin am 24. Mai enthüllt, nachdem Apple sie nicht wie zugesagt innerhalb von 90 Tagen behob. Das von ihm beschriebene Problem besteht darin, dass macOS von einem Netzwerk-Laufwerk heruntergeladene Anwendungen anders behandelt als Downloads aus dem Internet. Das erlaubt die Schaffung eines symbolischen Links („Symlink“) zu einer Anwendung auf einem vom Angreifer kontrollierten NFS-Server (Network File System), um dann ein ZIP-Archiv mit diesem Symlink zu schaffen und das Opfer zu dessen Download zu bewegen. Mit dem von Cavallarin kritisierten Ergebnis, dass die App nicht durch Apples Malwareschutz untersucht und blockiert wird.

Bei den von Intego untersuchten Proben zeigte sich, dass die Malware-Hersteller nicht nur mit einem ZIP-Archiv, sondern auch mit einem ISO-9660-Image mit der Dateiendung „.dmg“ sowie dem tatsächlichen Dateiformat Apple Disk Image (DMG) experimentierten. Noch sieht es danach aus, dass die Hintermänner bislang nur die Angriffsmöglichkeiten ausloten oder begrenzte und gezielte Angriffe durchführen. Dank dynamischer Verlinkung, warnt Intego jedoch, könnten die Angreifer aber jederzeit serverseitige Änderungen vornehmen – und eine App zu verteilen, die tatsächlich bösartigen Code auf den Macs der Opfer ausführt.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago