Skip to content

Neue Mac-Malware kommt mit offiziellem Apple Entwickler-Zertifikat

Geschrieben von Florian Schimanke am

Aktuell ist eine neue Malware im Umlauf, die speziell auf Mac-Anwender zielt. Ein Team von Sicherheitsforschern hat dabei herausgefunden, dass derzeit sämtliche Versionen von macOS davon betroffen sind. Das Perfide an dem neuen Angriff mit dem Namen DOK ist, dass die Malware mit einem gültigen Entwickler-Zertifikat von Apple signiert ist und somit nocht von GateKeeper geblockt wird (via The Hacker News). Ausgangspunkt für den Angriff ist eine deutschsprachige E-Mail, die angeblich von einer Schweizer Steuerbehörde stammen soll und den Benutzer dazu auffordert, die mitgelieferte Software zu installieren. Da diese mit dem gültigen Zertifikat signiert ist, schlägt GateKeeper hierbei keinen Alarm.

Es folgt ein an Apples Aktualisierungsscreens angelehntes Fenster, welches ein Passwort abfragt und hiermit der Malware Administrator-Rechte auf dem betroffenen Mac einräumt. Hiermit fischt sie anschließend die komplette Kommunikation des Macs mit dem Internet ab und funkt den Inhalt nach Hause. Für die technisch interessierten Leser handelt es sich hiermit also quasi um einen Man-in-the-Middle Angriff, indem in den Netzwerkeinstellungen des Macs ein Proxy-Server eingetragen wird, über den anschließend sätmtliche Netzwerkverbindungen geleitet werden.

Die gängigen Mac-Virenprogramme (ich empfehle hier nach wie vor das kostenlose Sophos Home) sollten die Malware spätestens nach dem nächsten Update der Virendefinitionen erkennen und entsprechende Gegenmaßnahmen ergreifen. Und auch Apple selbst dürfte das betroffene Entwickler-Zertifikat kurzfristig sperren. Bis dahin gelten natürlich auch weiterhin die gängigen Vorsichtsmaßnahmen. So sollte niemals eine ausführbare oder eine ZIP-Datei aus einem E-Mail Anhang heraus geöffnet werden. Auch die angesprochene E-Mail enthält bereits so viele grammatikalische, Darstellungs- und Rechtschreibfehler, dass man bereits dort stutzig werden sollte.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Tom Doe am :

"Ausgangspunkt f\374r den Angriff ist eine deutschsprachige E-Mail, die angeblich von einer Schweizer Steuerbeh\366rde stammen soll und den Benutzer dazu auffordert, die mitgelieferte Software zu installieren."

Das sagt doch schon alles! Wer darauf reinf\344llt, sorry der ist selber schuld.

Jan am :

Ich wollte es gerade schreiben. Wer ist denn bitte so doof und installiert so eine Software???!!

Wulf am :

Wenn es nur 0.01% macht und mehrere Millionen Leute angeschrieben werden...tja wer kann rechnen?
Wenn es nicht funktionieren w\374rde, dann w\374rde es diese eMails nicht geben.
Und hey mit korrekten Zertifikat, Hut ab, gut gemacht.

Pit am :

H\366rt sich eher so an,als will man hier Panik machen und einsch\374chtern,um diesen Virenscanner zu vertreiben

Somaro Etalon am :

Ich bin ja selber kein Fan von Antimalwaresoftware. Würde jeder Nutzer die einfachsten Sicherheitsregeln einhalten, bräuchte niemand eine Sicherheitssoftware, welche über die Systemapplikationen hinausgeht.

Aber so lange die Mehrheit der Nutzer offenbar immer noch alles runterlädt, öffnet oder irgendwo draufklickt mit dem Gedanken "Wenn das da steht, wird das schon stimmen" - ja, so lange kann ein Virenscanner wenigstens Schadensbegrenzung betreiben um andere Nutzer vor diesen Wahnsinnigen zu schützen.

Mir wäre es anders auch lieber, aber es hilft offenbar nichts. ... Wann kommen eigentlich endlich die verbindlichen Schulungen für private Computernutzer?

Tommi am :

Ich habe keine Virensoftware.... ihr?

Jsan am :

Kann man diesen Proxy dann als vpn zum Filme streamen benutzen?

Deviant am :

\ud83d\ude02 \ud83d\ude00 top. Made my day

krizzi am :

hehehe- Ist mir doch egal, hab ja nix zu verbergen.
Also werfe ich jetzt den ersten Stein, so!\ud83e\udd25

Jsan am :

Ich bin \374berzeugt davon, dass man Angriffe auch f\374r sich selber nutzen kann.

Eine mitm Attacke funktioniert doch nur, solange man davon nichts wei\337. Andernfalls kann man steuern, welche Daten der Angreifer kriegt. Und schaun, dass man auch was davon hat.

XT2- KF am :

Der d\374mmste Spruch ich habe nichts zu verbergen. Aber der primitiv Kultur ist eben alles egal Hauptsache umsonst und dabei. Nicht vergessen Fenster und T\374ren in der eigenen Wohnung offen zu lassen. Wie das ist etwas anderes?!? Quatsch, man hat doch nichts zu verbergen also warum abschlie\337en. Alle Leute reinlassen es wird schon nichts passieren den man hat ja nichts zu verbergen.

Anonym am :

Bitte nicht von Primitivkultur schreiben wenn man selbst schon der Sprache nicht m\344chtig ist.

Jsan am :

"Auch die angesprochene E-Mail enth\344lt bereits so viele grammatikalische, Darstellungs- und Rechtschreibfehler, dass man bereits dort stutzig werden sollte."

Finde ich nicht. Es werden halt Umlaute nicht korrekt dargestellt und man merkt, dass der Ersteller keine Ahnung von deutsch hat und das offenbar nur kopiert wurde.

Aber ansonsten ist es im Vergleich zu anderen derartigen mails relativ gut gemacht - jedenfalls nicht mit Google Translate oder fehlerhaft abgetippt.

Stutzig werden sollte man vor allem, wenn man gar nicht in der Schweiz lebt und eine e-mail von einer Schweizer Beh\366rde kriegt.

Im urspr\374nglichen Bericht wird \374brigens davon geredet, dass man dem Angreifer "root" Rechte gibt. Das stimmt so nicht, denn die hat der User selber nicht. Er erh\344lt administrative Rechte, das ist etwas mehr als ein unprivilegierter User und etwas weniger als root. Ein admin-user darf einiges nicht, was root d\374rfte (wenn er \374berhaupt aktiviert w\344r auf dem mac)

XT2- KF am :

Ich denke du hast es nicht verstanden. Ich denke du solltest noch mal im Internet nachlesen was die Definition primitiv Kultur \374berhaupt bedeutet.

krizzi am :

@XT2-KF
Es soll sogar Menschen geben, die nicht in allen Bereichen alles verstehen.
So z.B. verstehen sie, die T\374r und Fenster zu verschlie\337en wenn Sie das Haus verlassen, verstehen aber leider einfache Ironie nicht- soll es geben!
Werfe keine Steine mehr, k\366nnte ja jemanden treffen.

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Formular-Optionen