Categories: MacWorkspace

Trend Micro entdeckt neuen Backdoor-Trojaner für macOS

Trend Micro hat einen neuen Backdoor-Trojaner für Apples Desktopbetriebssystem macOS entdeckt. Die Sicherheitsforscher ordnen die Malware einer Backdoor-Familie zu, hinter der die Hackergruppe OceanLotus stecken soll. Bisher sollen zudem nur Sicherheitslösungen von Trend Micro in der Lage, die Schadsoftware zu erkennen (Stand 27. November 2020).

Die Einordnung als Variante von OceanLotus erfolge anhand des Verhaltens und des Codes der Backdoor. Die Gruppe geht laut Trend Micro gezielt gegen Unternehmen in den Bereichen Medien, Forschung und Bauwirtschaft in der Region Vietnam vor.

Verbreitet wird die Backdoor als eine in ein Zip-Archiv gepackte App, das wiederum als Word-Dokument getarnt ist. Eine spezielle Zeichenfolge im Dateinamen sorgt dafür, dass das Apple-Betriebssystem das App-Bundle trotz der Dateiendung „.doc“ für Word als nicht unterstützten Ordnertyp ansieht, was voreingestellt bei einem Doppelklick den Befehl „Öffnen“ ausführt.

Darüber hinaus ist laut Trend Micro das App-Bundle so gestaltet, dass es ein Skript für die wichtigsten schädlichen Aktionen ausführen und zusätzlich eine Word-Datei öffnen kann – was der Nutzer ja eigentlich erwartet. Das Skript wiederum bereitet die Ausführung der Hintertür vor, verändert dafür benötigte Berechtigungen und Dateiattribute und löscht schließlich das App-Bundle und die Word-Datei, um eine Erkennung zu erschweren.

Die eigentliche Hintertür richtet sich wiederum mithilfe einer „.plist“-Datei dauerhaft auf dem Mac ein. Anschließend sammelt sie Informationen über das Betriebssystem und überträgt diese an einen Befehlsserver im Internet. Vor dort erhält sie außerdem weitere Befehle für schädliche Aktionen, um beispielsweise zusätzliche Dateien herunterzuladen und auszuführen, Befehle in einem Terminal zu starten oder Dateien zu löschen.

Eine Analyse der für die Befehlsserver benutzten Domainamen ergab zudem, dass sie zum Teil zuvor schon für Hackerangriffe benutzt wurden. Eine der Domains soll bisher jedoch weder zum Hosting von Websites noch für kriminelle Aktivitäten eingesetzt worden sein.

Trend Micro nutzt seine Forschungsergebnisse erwartungsgemäß auch, um für seine macOS-Sicherheitslösung Home Security for Mac zu werben. Der Einsatz von Sicherheitssoftware unter macOS ist umstritten. Apple selbst bietet mit Gatekeeper eine eigene Lösung an, die jedoch einen geringeren Funktionsumfang bietet als kostenpflichtige Angebote von Drittanbietern. Darüber hinaus muss man festhalten, dass es für macOS deutlich weniger Schadprogramme gibt als für Windows oder Android. Allerdings zeigen Untersuchungen von Trend Micro und anderen Sicherheitsfirmen, dass auch Mac-Nutzer von Cyberkriminellen nicht verschont werden.

WEBINAR

Beim Endpunkt-Schutz zählt jede Sekunde: Warum die Entschärfung in Echtzeit entscheidend ist

Carsten Maceus, Systems Engineer bei Fortinet, erläutert in diesem Webinar, wie eine moderne IT-Sicherheitsarchitektur in Unternehmen aussehen sollte. Er illustriert dies am Beispiel eines Fußballstadions wo Bengalos, Flitzer, Ordner und Zuschauer agieren. Spannend.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago