Was können Nutzer jetzt tun?

MalwareBytes laufen lassen. Die kennen und erkennen die Software.
Und darüber hinaus beim runterladen von Programmen aufpassen, woher die kommt. Also lieber direkt vom Hersteller laden statt von irgendwelchen downloadportalen oder sonst wie fragwürdigen Seiten. Zudem darf man sich ruhig die Frage stellen, ob man irgendwas wirklich laden soll, nur weil man dazu aufgefordert wurde. Lädt man sich gedankenlos jeden Mist und installiert ihn anschließend, dann kann man sich sowas auch mal einhandeln.

Der Nutzen des Artikels, wenn er denn einen Nutzen haben soll, wäre gewesen:
1. Überprüfen Sie die LaunchAgents (das geht folgendermaßen....) und suchen Sie nach einem Eintrag ‚blafasel‘.
2. Wenn Sie den Eintrag auf Ihrem Rechner finden, werden Sie das Zeugs folgendermaßen wieder los: (Es folgt eine Beschreibung, wie man das macht)

Ohne 1. und 2. hat der Artikel leider nur meine Zeit verschwendet, mich unsicher gemacht und auch noch diesen gehässigen Kommentar verursacht.

Es hätte so ein entspannter Abend werden können...

Intel und Zuckerberg haben sich nun gegen Apple verschworen… 😬😵‍💫

pocoloco
steht in der oben verlinkten Quelle:

Es gibt 2 Varianten.
Indicators of Compromise in Versions 1 & 2:

~/Library/._insu (empty file used to signal the malware to delete itself)
/tmp/agent.sh (shell script executed for installation callback)
/tmp/version.json (file downloaded from from S3 to determine execution flow)
/tmp/version.plist (version.json converted into a property list)

Wenn Du eines dieser Files findest im Finder mit "Gehe zum Ordner" (oder Shift-Apfel-G) und Eingabe von "/tmp", dann solltest Du Dir Sorgen machen.

(Weitere Kriterien/Files siehe am Ende der o.a. Quelle: )

Wenn nicht, kannst Du jetzt Deinen entspannten Abend genießen.

Und woher weiß man, dass er Schadcode nachladen wird?

Ein weiterer Hinweis findet sich im Verzeichnis "~/Library/Launchagents":

Im Finder mit "Gehe zum Ordner" (oder Shift-Apfel-G) und Eingabe von "~/Library/LaunchAgents":

Bei Variante 1 findet sich dann:
~/Library/Launchagents/agent.plist (v1 persistence mechanism)
~/Library/Launchagents/init_agent.plist (v1 persistence mechanism)

Bei Variante 2 steht dort:
~/Library/Launchagents/verx.plist (v2 persistence mechanism)
~/Library/Launchagents/init_verx.plist (v2 persistence mechanism)

Wenn die genannten dort nicht zu finden sind, steht einem entspannten Abend nichts im Weg.

Lang

aus oben zitierter Quelle (übersetzt):

"LaunchAgents bieten eine Möglichkeit, launchd, das macOS-Initialisierungssystem, anzuweisen, periodisch oder automatisch Aufgaben auszuführen.
Jede Stunde wird die "downloadUrl" auf zusätzliche Inhalte überprüft, die heruntergeladen und ausgeführt werden können.
Nachdem wir die Malware über eine Woche lang beobachtet hatten, konnten weder wir noch unsere Forschungspartner eine nachgeladene Payload feststellen, sodass das letztendliche Ziel der Silver Sparrow-Aktivität ein Rätsel bleibt."

Übersetzt mit DeepL:

pocoloco

Also ich las den Artikel, folgte dem Link und war in 2 Minuten informiert, wie ich einen Befall feststellen kann.

Ist wohl offensichtlich für viele schon zu viel verlangt...

Jipp, besonders für die Verfasser des Artikels...

Nunja, wenn ich knapp 1700 euro für nen neuen Mac investiere, investiere auch etwas für eine Malwarebytes Lizenz.Tut ja nicht weh.

Habe ich mir nicht installiert. Habe ich was verpasst?

Wahnsinn, über was man sich heute so alles aufregen kann...

Genau. Das Einzige was ein Mac braucht.

Alles andere ist unwichtig und Spielerei.

Nur leider nicht erhältlich für IOS in Deutschland.

Danke für den Hinweis. Ich habe keine Datei Namens „blafasel“ gefunden und bin somit nicht betroffen. Glück gehabt

Bis vor einigen Jahren habe ich die Windows ausgelacht .. die immer mit ihren Viren und so weiter.

Beim Mac: Malware, von aussen blockierte Rechner .... sowas will ich nicht. Die 70 € für eine 2 Jahreslizenz tut beim Rechnerpreis nicht weh. Auch wenn ich dem lebenslangen Preis hinterhertrauere.

Als ich vor ca 3 Jahren beim Apple Support gearbeitet hatte, und von Apple ausschliesslich Malwarebytes empfohlen wurde, vertraue ich denen über den Weg.

Ich würde niemals einen Virenscanner wie der von Malwarebytes oder sonstiges auf meinem System installieren. Mit der Installation von AV Software verläßt man sich darauf, dass diese Programme keine Sicherheitslücken selber sind, was fatale Folgen für die Sicherheit haben kann. AV Programme sind eh meist ein Placebo, die nur System Ressourcen verbrauchen. Wer eine gehörige Portion Misstrauen über verdächtige Mails oder Software aus dubiosen Quellen meidet, ist schon auf dem richtigen Weg. Ich habe selbst unter Windows Systemen kein AV Programm installiert. Für die Nutzung eines Computers gehören nun mal heute eine gewisse Verhaltensregeln, die man bei allen Systemen befolgen sollte, egal ob macOS, Linux oder Windows.

Ja, das ist es in der Tat, und nicht nur mittlerweile! Du kannst auf einer deutschen Nachrichtenseite weder voraussetzen, dass die Leute gut genug Englisch sprechen, noch dass sie ausreichend Kenntnisse (oder auch nur Interesse) mitbringen, sich durch den Wust (ja, Wust) an Informationen auf der verlinkten Seite zu arbeiten. So liest sich die „Nachricht“ letztlich als Werbung für Malwarebytes.

Die meisten Menschen haben ein wichtigeres Leben neben ihrem Rechner, und es ist sicher nicht zu viel verlangt die dreieinhalb notwendigen Informationen hier mit in den Artikel zu packen. Andere (deutschsprachige) Nachrichtenseiten haben das schließlich auch hinbekommen.

😂 👍🏼

Ich find es interessant, das sich das Teil ausschließlich um Benutzerordner des angemeldeten Users einnistet. Spricht das nicht gegen die Vermutung, es sei mit andere Software huckepack gekommen?
Denn wenn man „zum Installieren“ eh das Adminpasswort eingeben muß (und sei es nur, um die Trägerapp in den Programmeordner zu verschieben), so wäre es doch ein Leichtes, sich in /Library einzugraben?

Daher ist das Ding doch eher eine Machbarkeitsstudie um zu prüfen, wie schnell die Sache auffliegt.

Dazu noch die Frage: hätten LittleSnitch und Verwandte die Heimtelefoniererei bemerkt und gewarnt oder nicht?

Genau ich lese einen Artikel um diese wichtigste Information doch anderswo zu finden.
Sehr nützlich....

Wenn man allerdings als Admin unterwegs ist, wird das Adminpasswort weder zum (normalen) „Installieren“ der Trägerapp noch zum Verschieben in den Ordner Programme angefordert.

Ich kann die Kritik von @@ pocoloco schon verstehen. Mir ging es beim gestrigen heise-Artikel (der MTN-Artikel liest sich wie die Kurzfassung davon) ähnlich.
Es wird explizit auf updater.pkg und update.pkg hingewiesen, obwohl diese sich nicht mehr auf befallenen Systemen befinden dürften, die relevanten Dateien in LaunchAgents werden aber nicht genannt.

McErik
Und genau deshalb gibt es von Anfang an bei mir keinen Rechner, bei dem „mit einem Adminaccount“ gearbeitet wird! Ein Account für die tägliche Arbeit und einen „für den Admin“. Lieber werde ich 1x zuviel gefragt, ob man jetzt das Adminpasswort eingeben soll/darf als das ich hinterher aufräumen muß. So hab ich mir mein Umfeld konditioniert

Es ging aber um die Motivation des Malware-Erstellers.

Genau das ist ja auch einer der Gründe, warum man nicht mit User-Intensionen im Admin-Account unterwegs sein sollte.
Nachtrag: ah ich sehe gerade, MikeMuc hatte das bereits erwähnt.

Wär' halt der Mehrwert von Mactechnews, dass sie das so wie Du kurz auf deusch erklären, ohne dass man auf Englisch auf einer 2km langen Seite durchlesen muss, wie sie draufgekommen sind.

MikeMuc Wellenbrett
Ich möchte hier keine grundsätzliche Diskussion vom Zaune brechen, ob man den Mac als Admin nutzen sollte oder nicht.

Im konkreten Fall wird davon ausgegangen, dass sich der Nutzer aus falscher Einschätzung dazu entschlossen hat, eine „Update“-App zu laden und zu installieren. In dieser Situation ändert es nichts, ob er als Admin die Träger-App einfach so oder als einfacher Nutzer unter Eingabe des Adminpasswortes installiert. Er will ja installieren!
MikeMuc fragt nun, warum der Ersteller der Malware seine Dateien im Benutzerordner ablegt und sie nicht tiefer im System versteckt.
Ein einfacher Nutzer würde bei einer fälligen Passwortabfrage nicht stutzig werden, weil er zur „Installation“ der App sowieso das Adminpasswort eingeben muss.
Der Malware-Entwickler muss aber auch an die vielen Nutzer denken, die als Admin unterwegs sind. Diese würden sehr wohl stutzig, wenn sie im Zusammenhang mit einer einfachen Installation nach dem Adminpasswort gefragt würden.
Nebenbei sieht man in diesem konkreten Fall, dass es hier einmal etwas sicherer ist, als Admin unterwegs zu sein (man wird eher stutzig).

Hätten sie vermutlich.

Aber letztlich ist das genauso unnötig wie das maßlos überschätzte und unverschämt teure Malwarebytes.

Alles, dessen es hier wirklich als Schutz bedurfte, ist eine Software, die kontrolliert, ob sich irgendetwas ungewollt im Autostart-Mechanismus von macOS einnistet. Denn die hier vorliegende Art von Schädling kann überhaupt nur schaden, wenn sie einen Neustart überlebt, und das tut sie nur, wenn sie eine plist in /Library/LaunchDaemons (wird gestartet, wenn der Rechner startet), in /Library/LaunchAgents (wird, wenn sich irgendein Nutzer anmeldet, für diesen Nutzer gestartet) oder /Users/username/Library/LaunchAgents (wird gestartet, wenn sich der Nutzer anmeldet, in dessen Library sie liegt) anlegen kann.

Das überprüft (und meldet ggf. sofort) eine Software wie LaunchControl, deren Hauptzweck freilich das gewollte Anlegen und Bearbeiten solcher Startdateien ist (kostet einmalig 15€) oder BlockBlock des Sicherheitsforschers Patrick Wardle, die sich auf den Sicherheitsaspekt konzentriert auch gleich erlaubt, die Installation zu verhindern. Das ist kostenlos wie alle Apps von ihm, und wenn man alle hat, ist man ziemlich gut geschützt.

Das ist so simpel: Ein Computervirus ist nicht irgendwas Numinoses, gegen das man erst in monatelanger Forschung einen Impfstoff entwickeln muss. Es ist schlicht ein Programm, und das kann nur schaden, wenn es gestartet wird. Und gestartet werden kann es nur vom Nutzer (da hilft dann nur noch Brain 2.0) oder durch den Autostartmechanismus. Wenn man den Autostartmechanismus kontrolliert, hat man vor dieser (verbreitetsten) Art von Schadsoftware 100%ige Sicherheit. Alle übrigen Dateien, die die Virensoftware irgendwo speichert, sind toter, ungefährlicher und belangloser Müll, solange kein Schadprogramm gestartet wird.

Mich packt die kalte Wut, wenn ich sehe, wie Firmen wie Malwarebytes Unwissenheit, Hilflosigkeit und numinose Ängste unbedarfter Nutzer schamlos ausnutzen mit einer opaquen Software (deren Aktionen mir jedenfalls durch Studium ihrer Website nicht klar werden) zu Wucherpreisen.

Haltet Euch an die Website von Patrick Wardle , dort findet ihr praktisch alles, was man zu seiner Sicherheit brauchen kann, es belastet den Rechner nicht und es ist alles kostenlos und – ganz wichtig! – Open Source. Und es ist nicht nur transparent, weil es Open Source ist, sondern auch, weil Patricks Ansatz modular ist – kleine Progrämmchen, die genau jeweils ein Problem angehen. Dadurch habt Ihr auch eine Chance zu verstehen, was da vorgeht und was man dagegen tun kann. Das hilft, diese amorphe Angst vor unbekannten, scheinbar übermächtigen Bedrohungen zu verlieren oder wenigstens zu reduzieren, mit der Unternehmen wie Malwarebytes ihre Geschäfte machen. Computerviren sind letztlich ziemlich banale Dinger.

Ich habe da derzeit auch keinen Diskussionsbedarf. Im konkreten Fall wie auch grundsätzlich hätte der Anwender im normalen User-Account eben durch das Dialogfeld für das Passwort noch einen Hinweis bekommen, dass es gerade etwas potentiell Schädliches tut. Darum geht es ja auch gerade.

Weia: toller Beitrag!