Remote Access Trojaner für macOS verbreitet sich über legitime 2FA-App

Malwarebytes hat eine manipulierte Version der 2FA-App MinaOTP entdeckt, die einen Remote Access Trojan namens Dacls enthält. Bisher wurde die Malware benutzt, um Windows- und Linux-Systeme anzugreifen. Die neue Variante nimmt indes Apples Desktopbetriebssystem macOS ins Visier.

Hinter Dacls werden Hacker vermutet, die mit Unterstützung von Nordkorea agieren sollen. Wie Bleeping Computer berichtet ist MinaOTP vor allem bei Nutzern in China verbreitet. Die mit dem Trojaner verseuchte Version des Tools wurde jedoch unter der Bezeichnung TinkaOTP im vergangenen Monat beim Malware-Scanner VirusTotal eingereicht.

Laut Malwarebytes wurde der Trojaner zu dem Zeitpunkt – am 8. April – von keiner Antivirus-Engine entdeckt. Inzwischen sollen 23 von 59 Engines, die auf VirusTotal vertreten sind, in der Lage sein, die Schadsoftware zu erkennen.

Der Analyse der Sicherheitsforscher zufolge übernimmt die Mac-Version von Dacls zahlreiche Details der Varianten für Windows und Linux, darunter die Namen von Zertifikaten. Auch der AES-Schlüssel, der für die Verschlüsselung der Konfigurationsdatei des Trojaners benutzt wird, ist auf allen drei Plattformen identisch. Zudem sollen unter macOS auch sechs Plugins zum Einsatz kommen, die schon von Windows und Linux bekannt sind. Neu sei jedoch ein Socks-Modul, dass einen Proxy zwischen der Malware und der Befehlsserverinfrastruktur startet.

Seine Kommunikation mit dem Befehlsserver schützt der Trojaner mit der Open-Source-Bibliothek WolfSSL. Sie lasse sich jedoch nicht einer bestimmten Hackergruppe zuordnen, heißt es weiter in dem Bericht.

Trotzdem wird hinter der Kampagne die mutmaßlich aus Nordkorea stammende Lazarus Group vermutet. Sie setzte schon früher auf mit Malware verseuchte legitime Software. So fand Kaspersky bereits 2018 einen Installer für eine Handelsplattform für Kryptowährungen, die einen Trojaner enthielt. Auch macOS soll die Gruppe schon früher angegriffen haben.