Der Sicherheitsanbieter Jamf warnt vor einer neuen Schadsoftware für das Apple-Betriebssystem macOS. Die Malware nutzt verschiedene Technologien, darunter Flutter, Go und Python, um macOS-Systeme anzugreifen sowie Verschleierungstaktiken, um Sicherheitsmaßnahmen zu umgehen. Zudem weist sie Ähnlichkeiten mit von nordkoreanischen Akteuren (DPRK) entwickelter Malware auf.
Flutter ist ein App-Entwickler-Kit von Google für einheitliche, plattformübergreifende Anwendungen. Apps, die mit Flutter erstellt wurden, verfügen über ein App-Layout, das den Code weitgehend verschleiert. Zudem erschwert die Komplexität der Flutter-Architektur die Analyse und Erkennung von Malware erheblich.
Die Flutter-Anwendung tarnt sich wiederum als harmlose App. Bei der Ausführung sendet sie eine Anfrage an eine bekannte DPRK-Domain, um einen zweiten Payload herunterzuladen, der im nächsten Schritt AppleScript-Codes ausführen kann. Über AppleScript können Angreifer unterschiedliche Befehle auf dem infizierten macOS-System ausführen. Die Jamf-Experten haben zunächst vier infizierte Anwendungen identifiziert, von denen zwei zu einem früheren Zeitpunkt mit einer legitimen Entwicklersignatur signiert waren. Zum Zeitpunkt der Entdeckung hatte Apple diese Signaturen bereits widerrufen.
Neben der Flutter-Anwendung wurden Jamf zufolge auch Varianten in den Programmiersprachen Golang und Python entdeckt. Die Golang-Variante funktioniert ähnlich wie die Flutter-Version. Die Python-Variante ist als eigenes App-Bundle mit der Py2App verpackt. Die Malware tarnt sich dabei als funktionale Notepad-Anwendung.
„Es ist nicht ungewöhnlich, dass Angreifer Malware in eine Flutter-basierte Anwendung einbetten. Dies ist jedoch das erste Mal, dass Jamf einen Fall identifizieren konnte, bei dem Angreifer damit gezielt macOS-Geräte angreifen. Noch ist unklar, ob es sich um echte Malware oder um einen Test für neuartige Malware-Attacken handelt“, teilte der Sicherheitsanbieter mit.
Das Threat-Labs-Team von Jamf vermutet jedoch, dass es sich bei der Malware um einen Testlauf für einen größeren Angriff handelt. Die verantwortlichen Akteure seien dafür bekannt, sehr überzeugende Social-Engineering-Kampagnen durchzuführen. Es könne sich hierbei also um einen Versuch handeln, herauszufinden, ob eine ordnungsgemäß signierte App mit bösartigem Code, der in einer Dylib versteckt ist, von Apple genehmigt wird und wie lang diese dann unter dem Radar von Security-Anbietern, die generische, nicht auf OS-Betriebssysteme spezialisierte Lösungen bereitstellen, bleibt.
KI-Funktionen beschleunigen die Erholung des PC-Markts. Der Nettogewinn legt um 44 Prozent zu, der Umsatz…
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…