Categories: MacWorkspace

Neuer Mac-Trojaner leert Geldbörsen für Kryptowährungen

Nutzer, die auf ihren Apple-Computern mit Kryptowährungen handeln, sollten sich vor einer neuen Mac-Malware schützen. Eset zufolge ist derzeit eine Schadsoftware im Umlauf, die sich als legitime Versionen von Trading-Apps für Kryptowährungen ausgibt. Unter anderem ist die Software des Anbieters Kattana betroffen.

Wie genau die Trojaner-Versionen dieser Apps auf einen Mac landen, ist den Forscher nicht bekannt. Sie gehen aber davon aus, dass Social Engineering eine Rolle spielt. Zumal Kattana bereits seit März auf schädliche Kopien seiner Software aufmerksam mache. “ Die Annahme, dass die Betreiber ihre Zielpersonen direkt kontaktieren und sie sozial so manipulieren, dass sie die bösartige Anwendung installieren, scheint am plausibelsten“, erklärten die Forscher.

Insgesamt wurden bisher vier schädliche Version der legitimen Kattana-App gefunden. Sie werden unter den Bezeichnungen Cointrazer, Cupatrade, Licatrade und Trezarus angeboten. Neben einer Trading-Funktion beinhalten sie aber auch den Malware-Installer Gmera, die laut Trend Micro schon 2019 mit einer anderen Mac-Trading-App namens Stockfolio gebündelt wurde.

Wird die schädliche App ausgeführt, stellt Gmera eine HTTP-Verbindung zu einem Befehlsserver im Internet her und etabliert eine Remote-Terminal-Sitzung zu einem weiteren Befehlsserver über eine voreingestellte IP-Adresse. Diese Aktionen werden über ein Shell-Skript gestartet, das außerdem einen Launch Agent einrichtet, der eine dauerhafte Funktion der Malware ermöglicht.

Zumindest im Fall der von Eset untersuchten Licatrade-App funktionierte der Launch Agent jedoch nicht. Bei den anderen drei Varianten – sie sollen sich grundsätzlich nur geringfügig unterscheiden – arbeitet der Launch Agent wie vorgesehen.

Die meisten legitimen Funktionen der Kattana-App fanden die Forscher auch in den schädlichen Version. Vor allem die Anmeldefunktion, die eine Geldbörse und die eigentliche Trading-Funktion verknüpft, sei vorhanden. Diese Funktion wiederum nutzen die Cyberkriminellen, um auf die Geldbörsen ihrer Opfer zuzugreifen.

Gmera ist laut Eset aber auch in der Lage, Informationen über das infizierte System zu sammeln. Die Malware versucht außerdem, einen Honeypot zu erkennen. Ist macOS Catalina installiert, wird die Screenshot-Funktion der Malware nicht aktiviert, das Catalina vor Erstellung eines Screenshots die Zustimmung des Nutzers einholt, was die Malware enttarnen könnte.

Erst danach beginnt der eigentliche Datendiebstahl. Neben den Anmeldedaten für Kryptogeldbörsen ziehen die Hacker auch Browserdaten und Cookies ab.

Eset zufolge signierten die Hintermänner ihre Schadsoftware zudem mit einem gültigen Apple-Zertifikat, das jedoch in zwischen widerrufen wurde. „Im Fall von Cointrazer lagen nur 15 Minuten zwischen dem Zeitpunkt, an dem das Zertifikat von Apple ausgestellt wurde, und der Signierung des Trojaners durch die Angreifer“, ergänzten die Forscher. „Dies und die Tatsache, dass wir nichts anderes gefunden haben, was mit demselben Schlüssel signiert wurde, lässt vermuten, dass sie das Zertifikat explizit für diesen Zweck erhalten haben.“

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

1 Stunde ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

5 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

6 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

6 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

6 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

9 Stunden ago