Tarmac: Neue Mac-Malware verbreitet sich über Online-Werbung

Die Malvertising-Kampagne richtet sich in erster Linie gegen Nutzer in den USA, Japan und Italien. Tarmac ist dabei das zweite Glied in einer Infektionskette. Aufgrund eines fehlenden Befehlsservers ist der Funktionsumfang der Malware bisher nicht bekannt.

Sicherheitsforscher haben eine neue Schadsoftware für Apples Desktopbetriebssystem macOS namens Tarmac entdeckt. Sie wird derzeit über schädliche Online-Anzeigen (Malvertising) verbreitet. Einige Funktionen sowie den Zweck der Schadsoftware konnten die Forscher bisher jedoch noch nicht ergründen.

Malware (Bild: Shutterstock/Blue Island)Die gefährlichen Anzeigen schleusen Code in die Browser von Mac-Nutzern ein, der Pop-ups zu angeblich notwendigen Software-Updates öffnet, häufig für Adobes Flash Player. Opfer, die auf den Trick hereinfallen und das Update herunterladen, installieren zuerst eine Shlayer genannte Schadsoftware und anschließend Tarmac.

Die Malvertising-Kampagne, die das Malware-Duo verteilt, ist seit Januar aktiv und wurde zu dem Zeitpunkt bereits von Taha Karim beschrieben, Senior Security Researcher bei Confiant. Allerdings stieß er bei seiner ersten Analyse lediglich auf Shlayer – seine Erkenntnisse zu Tarmac machte er erstmals Ende September öffentlich.

Zudem konnte Karim bisher nur wenig über Tarmac herausfinden, da ihm nur eine ältere Version vorliegt, dessen Befehlsserver nicht mehr verfügbar ist. Bekannt ist nur, dass Shlayer Tarmac herunterlädt und installiert. Tarmac wiederum sammelt Details über die Hardware eines infizierten Mac und schickt diese an seinen Befehlsserver. Danach wartet die Schadsoftware auf neue Anweisungen, die Tarmac jedoch aufgrund des fehlenden Befehlsservers nicht erhält.

Im Gespräch mit ZDNet USA teilte der Forscher zudem mit, dass Tarmac speziell auf Nutzer in den USA, Italien und Japan ausgerichtet sei. Vor allem Italien sei ein eher ungewöhnliches Ziel für eine Malware-Kampagne. „Wir denken, dass die Akteure nach dem Prinzip des Trial-and-Error vorgehen, und sie könnten in Italien einen Sweetspot gefunden haben, zwischen dem Gewinn, den sie ernten können, und dem Grad der Aufmerksamkeit der Sicherheitsgemeinschaft.“

Apples Sicherheitsfunktionen Gatekeeper und XProtect sind übrigens nicht in der Lage, Tarmac zu erkennen. Die Malware nutzt nämlich legitime Apple-Entwickler-Zertifikate, die sie als vertrauenswürdige Software ausweist. Wie sich Tarmac-Infektion trotzdem erkennen lassen, beschreibt Karim in seinem Blogeintrag.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Malware, Security, Sicherheit, macOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Tarmac: Neue Mac-Malware verbreitet sich über Online-Werbung

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *