Apple Mac Nutzer schauen Windows Anwender oft recht mitleidig an, wenn Letztere einmal wieder mit Malware oder sonstigen Bugs zu kämpfen haben. Doch kürzlich hatten einige Nutzer von Apple Geräten in überwiegend deutschsprachigen Ländern ausnahmsweise auch mal nichts zu lachen. Sicherheitsexperten von Check Point hatten am 21. April ein ziemlich raffiniertes Malwarebündel OSX/Dok entdeckt. Raffiniert nicht nur deshalb, weil es sogar durch den von Google betriebenen Onlinedienst VirusTotal schlüpfen konnte, sondern auch, weil es die sich in ewiger Sicherheit wiegenden Apple-Nutzer ziemlich kalt erwischte. Zugegeben, die Macher hinter dem Malwarebündel mussten schon sehr tief in die Trickkiste greifen, um das hinzubekommen. Und, Apple-Nutzer mussten zudem auch tatkräftig mithelfen, damit sie sich ausführen konnte. Der Angriff betraf alle OSX-Versionen.

Die ganze Sache wurde mit einer Welle von Spam-E-Mails vom Absender Swiss Tax Office an deutschsprachige Apple Nutzer eingeleitet. Darin ging es um Ungereimtheiten im Zusammenhang mit Steuererklärungen. Im Anhang befand sich ein Dokument.zip, der sich beim Öffnen zu einer App mit dem Namen Truesteer.AppStore entpackt. Einmal ausgeführt kopiert sich die App an einen anderen Speicherort auf dem Gerät des Benutzers, entfernt die original App und zeigt sogleich eine Fehlermeldung an, die den Benutzer informiert, dass das Dokument defekt sei und nicht geöffnet werden konnte. Allerdings arbeitet die Malware im Hintergrund fleißig weiter. Wenn ein LoginItem mit dem Namen AppStore existiert, löscht die Malware es und fügt stattdessen sich selbst als LoginItem hinzu. Dieses wird dann bei jedem Systemneustart automatisch ausgeführt, bis es seine Aufgabe erfüllt hat, nämlich, das gesamte Malwarebündel zu installieren.

Außerdem sieht es aus wie ein unauffälliges Hintergrundprogramm.
Das Fenster mit der Fehlermeldung fordert den Anwender zwingend auf, ein Passwort einzugeben, um verfügbare OSX-Updates zu installieren. Wenn er der Aufforderung nicht nachkommt, steht sein Gerät still – nichts geht mehr. Wenn er der Aufforderung jedoch folgt, nimmt das Übel natürlich seinen Lauf und die Malware erhält die Admin-Rechte über sein Gerät, installiert einen Tor Klienten und das SOCAT Netzwerkdienstprogramm und auch noch eine PAC-Datei (Proxy AutoConfiguration) herunter und ändert dann die Netzwerkeinstellungen des Ziels, sodass der Verkehr durch einen vom Angreifer neu eingerichteten und kontrollierten Proxyserver und einer Localhost-URL geleitet wird.

Tatsächlich stellt die Malware aber einen lokalen Server auf und leitet diese localhost URL zu einem Dark Web Link weiter. Diese Installation ist nur deshalb möglich, da das Zertifikat nicht von Gatekeeper (Apple Schutzprogramm) erkannt wird und weil der Anwender nur App Installationen aus dem App Store zugestimmt hat. Die Malware fährt dann fort, ein neues Root-Zertifikat ins System zu installieren. Damit können die Angreifer den gesamten Datenverkehr mit einem Man-in-the-Middle-Angriff abfangen, mitlesen und manipulieren, auch solchen mit SSL-Schutz. Deshalb war übrigens auch der ganze Aufwand nötig. Außerdem täuscht es dem Nutzer beliebige Webseiten vor.

Bis jetzt ist den Experten noch nicht klar, wie viele Apple Nutzer hiervor betroffen sind. Auch ist noch unklar, wie die noch unbekannten Hacker die Finger an ein echtes, von Apple authentifiziertes Entwicklerzertifikat bekommen konnten. Die Experten von Check Point vermuten, dass sie es auf irgendeine Weise kapern konnten. Inzwischen sind alle bekannten Virenscanner aktualisiert worden und die Malware wird auch durch ein XProtect Update entsprechend erkannt.
Check Point Experten weisen darauf hin, dass „die Sicherheit von Systemen, egal ob Windows, Linux oder Android immer beim Nutzer selbst anfängt. Die Realität lässt heutzutage kein Raum für Selbstgefälligen zu. Anwender sollten immer auf der Hut sein, egal welches Betriebssystem oder welche Plattform sie verwenden.“

Threatpost.com, 01.05.2017: Apple Revokes Certificate Used By OSX/Dok Malware

Bleepingcomputer.com, 29.04.2017: New Dok Mac Malware Uses Nag Screens, Intercepts Encrypted Web Traffic

Apple User in Deutschland mit raffinierter Malware überrumpelt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.