Neuer Mac-Trojaner leert Geldbörsen für Kryptowährungen

Nutzer, die auf ihren Apple-Computern mit Kryptowährungen handeln, sollten sich vor einer neuen Mac-Malware schützen. Eset zufolge ist derzeit eine Schadsoftware im Umlauf, die sich als legitime Versionen von Trading-Apps für Kryptowährungen ausgibt. Unter anderem ist die Software des Anbieters Kattana betroffen.

Wie genau die Trojaner-Versionen dieser Apps auf einen Mac landen, ist den Forscher nicht bekannt. Sie gehen aber davon aus, dass Social Engineering eine Rolle spielt. Zumal Kattana bereits seit März auf schädliche Kopien seiner Software aufmerksam mache. “ Die Annahme, dass die Betreiber ihre Zielpersonen direkt kontaktieren und sie sozial so manipulieren, dass sie die bösartige Anwendung installieren, scheint am plausibelsten“, erklärten die Forscher.

Insgesamt wurden bisher vier schädliche Version der legitimen Kattana-App gefunden. Sie werden unter den Bezeichnungen Cointrazer, Cupatrade, Licatrade und Trezarus angeboten. Neben einer Trading-Funktion beinhalten sie aber auch den Malware-Installer Gmera, die laut Trend Micro schon 2019 mit einer anderen Mac-Trading-App namens Stockfolio gebündelt wurde.

Wird die schädliche App ausgeführt, stellt Gmera eine HTTP-Verbindung zu einem Befehlsserver im Internet her und etabliert eine Remote-Terminal-Sitzung zu einem weiteren Befehlsserver über eine voreingestellte IP-Adresse. Diese Aktionen werden über ein Shell-Skript gestartet, das außerdem einen Launch Agent einrichtet, der eine dauerhafte Funktion der Malware ermöglicht.

Zumindest im Fall der von Eset untersuchten Licatrade-App funktionierte der Launch Agent jedoch nicht. Bei den anderen drei Varianten – sie sollen sich grundsätzlich nur geringfügig unterscheiden – arbeitet der Launch Agent wie vorgesehen.

Die meisten legitimen Funktionen der Kattana-App fanden die Forscher auch in den schädlichen Version. Vor allem die Anmeldefunktion, die eine Geldbörse und die eigentliche Trading-Funktion verknüpft, sei vorhanden. Diese Funktion wiederum nutzen die Cyberkriminellen, um auf die Geldbörsen ihrer Opfer zuzugreifen.

Gmera ist laut Eset aber auch in der Lage, Informationen über das infizierte System zu sammeln. Die Malware versucht außerdem, einen Honeypot zu erkennen. Ist macOS Catalina installiert, wird die Screenshot-Funktion der Malware nicht aktiviert, das Catalina vor Erstellung eines Screenshots die Zustimmung des Nutzers einholt, was die Malware enttarnen könnte.

Erst danach beginnt der eigentliche Datendiebstahl. Neben den Anmeldedaten für Kryptogeldbörsen ziehen die Hacker auch Browserdaten und Cookies ab.

Eset zufolge signierten die Hintermänner ihre Schadsoftware zudem mit einem gültigen Apple-Zertifikat, das jedoch in zwischen widerrufen wurde. „Im Fall von Cointrazer lagen nur 15 Minuten zwischen dem Zeitpunkt, an dem das Zertifikat von Apple ausgestellt wurde, und der Signierung des Trojaners durch die Angreifer“, ergänzten die Forscher. „Dies und die Tatsache, dass wir nichts anderes gefunden haben, was mit demselben Schlüssel signiert wurde, lässt vermuten, dass sie das Zertifikat explizit für diesen Zweck erhalten haben.“