Categories: SicherheitVirus

Remote Access Trojaner für macOS verbreitet sich über legitime 2FA-App

Malwarebytes hat eine manipulierte Version der 2FA-App MinaOTP entdeckt, die einen Remote Access Trojan namens Dacls enthält. Bisher wurde die Malware benutzt, um Windows- und Linux-Systeme anzugreifen. Die neue Variante nimmt indes Apples Desktopbetriebssystem macOS ins Visier.

Hinter Dacls werden Hacker vermutet, die mit Unterstützung von Nordkorea agieren sollen. Wie Bleeping Computer berichtet ist MinaOTP vor allem bei Nutzern in China verbreitet. Die mit dem Trojaner verseuchte Version des Tools wurde jedoch unter der Bezeichnung TinkaOTP im vergangenen Monat beim Malware-Scanner VirusTotal eingereicht.

Laut Malwarebytes wurde der Trojaner zu dem Zeitpunkt – am 8. April – von keiner Antivirus-Engine entdeckt. Inzwischen sollen 23 von 59 Engines, die auf VirusTotal vertreten sind, in der Lage sein, die Schadsoftware zu erkennen.

Der Analyse der Sicherheitsforscher zufolge übernimmt die Mac-Version von Dacls zahlreiche Details der Varianten für Windows und Linux, darunter die Namen von Zertifikaten. Auch der AES-Schlüssel, der für die Verschlüsselung der Konfigurationsdatei des Trojaners benutzt wird, ist auf allen drei Plattformen identisch. Zudem sollen unter macOS auch sechs Plugins zum Einsatz kommen, die schon von Windows und Linux bekannt sind. Neu sei jedoch ein Socks-Modul, dass einen Proxy zwischen der Malware und der Befehlsserverinfrastruktur startet.

Seine Kommunikation mit dem Befehlsserver schützt der Trojaner mit der Open-Source-Bibliothek WolfSSL. Sie lasse sich jedoch nicht einer bestimmten Hackergruppe zuordnen, heißt es weiter in dem Bericht.

Trotzdem wird hinter der Kampagne die mutmaßlich aus Nordkorea stammende Lazarus Group vermutet. Sie setzte schon früher auf mit Malware verseuchte legitime Software. So fand Kaspersky bereits 2018 einen Installer für eine Handelsplattform für Kryptowährungen, die einen Trojaner enthielt. Auch macOS soll die Gruppe schon früher angegriffen haben.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

2 Tagen ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

5 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

6 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

6 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

6 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

7 Tagen ago