Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Geheimnisvolle Malware befällt Tausende von Macs – Absichten der Angreifer sind noch unklar

Vor einigen Tagen tauchte die erste Malware auf, welche ausdrücklich auch M1-Macs im Visier hat. Dabei handelte es sich um eine gleichermaßen für Intel-Macs und Computer mit Apple Silicon kompilierte Variante eines seit Jahren unter dem Namen Pirrit bekannten Schädlings. Jetzt wurde eine weitere Schadsoftware entdeckt, die ebenfalls MacBook Air M1, MacBook Pro M1 und Mac mini M1 befallen kann und sich bereits in mehr als hundert Ländern verbreitet hat.


"Silver Sparrow" weist einige Besonderheiten auf
Der von Sicherheitsforschern des Unternehmens Red Canary auf den Namen "Silver Sparrow" getaufte Schädling weist einige Besonderheiten auf, die ihn unter Umständen sehr gefährlich machen können. Ist die als "updater.pkg" für Intel-Macs und "update.pkg" (Universal Binary) verteilte Malware auf den Mac gelangt, richtet sie zunächst keinen Schaden an, da sie keinen böswilligen Code enthält. Allerdings kontaktiert sie in regelmäßigen Abständen einen bestimmten Server, von welchem dann zu einem späteren Zeitpunkt die eigentliche Payload ausgeliefert wird. Hierzu bedient sich "Silver Sparrow" der JavaScript-API von macOS, installiert sich als LaunchAgent auf dem System und führt diverse Shell-Scripte aus. Ein derartiges Verhalten wurde bei Schadsoftware auf Macs bislang nicht beobachtet, so die Experten von Red Canary.

Selbstzerstörungsroutine im Code enthalten
Darüber hinaus enthält "Silver Sparrow" einen Selbstzerstörungsmechanismus, der die Schadsoftware rückstandslos aus dem System entfernt. Eine solche Routine, die sich unter anderem vom kontaktierten Server starten lässt, kommt bei Malware nur äußerst selten zum Einsatz. Völlig unbekannt ist schließlich, welche Ziele die Entwickler des Schädlings verfolgen. Bislang haben die in freier Wildbahn aufgespürten Versionen noch keinen Schadcode nachgeladen, sodass diverse Arten von Angriffen denkbar erscheinen. Möglich sind beispielsweise das Einschleusen von Verschlüsselungstrojanern oder Keyloggern sowie das Abschnorcheln von Zugangsdaten etwa für Bankkonten.

Weltweit rund 30.000 Macs infiziert
Der Statistik von MalwareBytes zufolge hatte "Silver Sparrow" Mitte Februar weltweit bereits rund 30.000 Macs infiziert. Vornehmlich betroffen waren Computer in den Vereinigten Staaten, Kanada, Frankreich und Deutschland sowie im Vereinigten Königreich. Wie die Malware auf die Rechner gelangt, ist derzeit unbekannt. Die Sicherheitsforscher von Red Canary vermuten, dass sie als reguläre Mac-Software außerhalb des Mac App Stores beworben wird. Die Installationspakete waren offenbar signiert, Apple hat die entsprechenden Entwickler-Zertifikate mittlerweile wohl widerrufen.

Kommentare

Phileas22.02.21 17:47
Was können Nutzer jetzt tun?
+17
maculi
maculi22.02.21 17:56
MalwareBytes laufen lassen. Die kennen und erkennen die Software.
Und darüber hinaus beim runterladen von Programmen aufpassen, woher die kommt. Also lieber direkt vom Hersteller laden statt von irgendwelchen downloadportalen oder sonst wie fragwürdigen Seiten. Zudem darf man sich ruhig die Frage stellen, ob man irgendwas wirklich laden soll, nur weil man dazu aufgefordert wurde. Lädt man sich gedankenlos jeden Mist und installiert ihn anschließend, dann kann man sich sowas auch mal einhandeln.
+19
pocoloco22.02.21 18:03
Der Nutzen des Artikels, wenn er denn einen Nutzen haben soll, wäre gewesen:
1. Überprüfen Sie die LaunchAgents (das geht folgendermaßen....) und suchen Sie nach einem Eintrag ‚blafasel‘.
2. Wenn Sie den Eintrag auf Ihrem Rechner finden, werden Sie das Zeugs folgendermaßen wieder los: (Es folgt eine Beschreibung, wie man das macht)

Ohne 1. und 2. hat der Artikel leider nur meine Zeit verschwendet, mich unsicher gemacht und auch noch diesen gehässigen Kommentar verursacht.

Es hätte so ein entspannter Abend werden können...
+93
tk69
tk6922.02.21 18:33
Intel und Zuckerberg haben sich nun gegen Apple verschworen… 😬😵‍💫
+4
Sindbad22.02.21 18:33
pocoloco
steht in der oben verlinkten Quelle:

Es gibt 2 Varianten.
Indicators of Compromise in Versions 1 & 2:

~/Library/._insu (empty file used to signal the malware to delete itself)
/tmp/agent.sh (shell script executed for installation callback)
/tmp/version.json (file downloaded from from S3 to determine execution flow)
/tmp/version.plist (version.json converted into a property list)

Wenn Du eines dieser Files findest im Finder mit "Gehe zum Ordner" (oder Shift-Apfel-G) und Eingabe von "/tmp", dann solltest Du Dir Sorgen machen.

(Weitere Kriterien/Files siehe am Ende der o.a. Quelle: )

Wenn nicht, kannst Du jetzt Deinen entspannten Abend genießen.
+14
Michael Lang22.02.21 18:54
Bislang haben die in freier Wildbahn aufgespürten Versionen noch keinen Schadcode nachgeladen,

Und woher weiß man, dass er Schadcode nachladen wird?
- Das größte Maul und das kleinste Hirn,wohnen meist unter derselben Stirn. - Hermann Oscar Arno Alfred Holz, (1863 - 1929), deutscher Schriftsteller
+1
Sindbad22.02.21 18:58
Ein weiterer Hinweis findet sich im Verzeichnis "~/Library/Launchagents":

Im Finder mit "Gehe zum Ordner" (oder Shift-Apfel-G) und Eingabe von "~/Library/LaunchAgents":

Bei Variante 1 findet sich dann:
~/Library/Launchagents/agent.plist (v1 persistence mechanism)
~/Library/Launchagents/init_agent.plist (v1 persistence mechanism)

Bei Variante 2 steht dort:
~/Library/Launchagents/verx.plist (v2 persistence mechanism)
~/Library/Launchagents/init_verx.plist (v2 persistence mechanism)

Wenn die genannten dort nicht zu finden sind, steht einem entspannten Abend nichts im Weg.
+25
Sindbad22.02.21 19:07
Lang

aus oben zitierter Quelle (übersetzt):

"LaunchAgents bieten eine Möglichkeit, launchd, das macOS-Initialisierungssystem, anzuweisen, periodisch oder automatisch Aufgaben auszuführen.
Jede Stunde wird die "downloadUrl" auf zusätzliche Inhalte überprüft, die heruntergeladen und ausgeführt werden können.
Nachdem wir die Malware über eine Woche lang beobachtet hatten, konnten weder wir noch unsere Forschungspartner eine nachgeladene Payload feststellen, sodass das letztendliche Ziel der Silver Sparrow-Aktivität ein Rätsel bleibt."

Übersetzt mit DeepL:
+3
z3r022.02.21 19:23
pocoloco

Also ich las den Artikel, folgte dem Link und war in 2 Minuten informiert, wie ich einen Befall feststellen kann.

Ist wohl offensichtlich für viele schon zu viel verlangt...
-19
LordVaderchen22.02.21 19:29
z3r0
pocoloco

Also ich las den Artikel, folgte dem Link und war in 2 Minuten informiert, wie ich einen Befall feststellen kann.

Ist wohl offensichtlich für viele schon zu viel verlangt...

Jipp, besonders für die Verfasser des Artikels...
+26
chill
chill22.02.21 20:23
Nunja, wenn ich knapp 1700 euro für nen neuen Mac investiere, investiere auch etwas für eine Malwarebytes Lizenz.Tut ja nicht weh.
MBP M1 256/16 Monterey 12.1 . iPhone 11 128 GB, iOs 15.2
-14
Analoger22.02.21 20:34
Habe ich mir nicht installiert. Habe ich was verpasst?
+2
z3r022.02.21 20:42
Wahnsinn, über was man sich heute so alles aufregen kann...
0
Motti
Motti22.02.21 21:34
chill
Nunja, wenn ich knapp 1700 euro für nen neuen Mac investiere, investiere auch etwas für eine Malwarebytes Lizenz.Tut ja nicht weh.
Genau. Das Einzige was ein Mac braucht.

Alles andere ist unwichtig und Spielerei.

Nur leider nicht erhältlich für IOS in Deutschland.
-3
Hans.J
Hans.J22.02.21 22:10
pocoloco
...und suchen Sie nach einem Eintrag ‚blafasel‘....
Danke für den Hinweis. Ich habe keine Datei Namens „blafasel“ gefunden und bin somit nicht betroffen. Glück gehabt
+8
chill
chill22.02.21 22:13
Bis vor einigen Jahren habe ich die Windows ausgelacht .. die immer mit ihren Viren und so weiter.

Beim Mac: Malware, von aussen blockierte Rechner .... sowas will ich nicht. Die 70 € für eine 2 Jahreslizenz tut beim Rechnerpreis nicht weh. Auch wenn ich dem lebenslangen Preis hinterhertrauere.

Als ich vor ca 3 Jahren beim Apple Support gearbeitet hatte, und von Apple ausschliesslich Malwarebytes empfohlen wurde, vertraue ich denen über den Weg.
MBP M1 256/16 Monterey 12.1 . iPhone 11 128 GB, iOs 15.2
-7
claudiusw
claudiusw22.02.21 23:03
Ich würde niemals einen Virenscanner wie der von Malwarebytes oder sonstiges auf meinem System installieren. Mit der Installation von AV Software verläßt man sich darauf, dass diese Programme keine Sicherheitslücken selber sind, was fatale Folgen für die Sicherheit haben kann. AV Programme sind eh meist ein Placebo, die nur System Ressourcen verbrauchen. Wer eine gehörige Portion Misstrauen über verdächtige Mails oder Software aus dubiosen Quellen meidet, ist schon auf dem richtigen Weg. Ich habe selbst unter Windows Systemen kein AV Programm installiert. Für die Nutzung eines Computers gehören nun mal heute eine gewisse Verhaltensregeln, die man bei allen Systemen befolgen sollte, egal ob macOS, Linux oder Windows.
You can­not cre­ate good ty­pog­ra­phy with Arial.
+5
Perdiste puesto primero23.02.21 05:22
z3r0
pocoloco

Also ich las den Artikel, folgte dem Link und war in 2 Minuten informiert, wie ich einen Befall feststellen kann.

Ist wohl offensichtlich für viele schon zu viel verlangt...

Ja, das ist es in der Tat, und nicht nur mittlerweile! Du kannst auf einer deutschen Nachrichtenseite weder voraussetzen, dass die Leute gut genug Englisch sprechen, noch dass sie ausreichend Kenntnisse (oder auch nur Interesse) mitbringen, sich durch den Wust (ja, Wust) an Informationen auf der verlinkten Seite zu arbeiten. So liest sich die „Nachricht“ letztlich als Werbung für Malwarebytes.

Die meisten Menschen haben ein wichtigeres Leben neben ihrem Rechner, und es ist sicher nicht zu viel verlangt die dreieinhalb notwendigen Informationen hier mit in den Artikel zu packen. Andere (deutschsprachige) Nachrichtenseiten haben das schließlich auch hinbekommen.
+11
pentaxian
pentaxian23.02.21 06:15
Hans.J
pocoloco
...und suchen Sie nach einem Eintrag ‚blafasel‘....
Danke für den Hinweis. Ich habe keine Datei Namens „blafasel“ gefunden und bin somit nicht betroffen. Glück gehabt

😂 👍🏼
mine is the last voice that you will ever hear (FGTH)
+1
MikeMuc23.02.21 08:13
Ich find es interessant, das sich das Teil ausschließlich um Benutzerordner des angemeldeten Users einnistet. Spricht das nicht gegen die Vermutung, es sei mit andere Software huckepack gekommen?
Denn wenn man „zum Installieren“ eh das Adminpasswort eingeben muß (und sei es nur, um die Trägerapp in den Programmeordner zu verschieben), so wäre es doch ein Leichtes, sich in /Library einzugraben?

Daher ist das Ding doch eher eine Machbarkeitsstudie um zu prüfen, wie schnell die Sache auffliegt.

Dazu noch die Frage: hätten LittleSnitch und Verwandte die Heimtelefoniererei bemerkt und gewarnt oder nicht?
+2
MacGay
MacGay23.02.21 08:30
z3r0
pocoloco

Also ich las den Artikel, folgte dem Link und war in 2 Minuten informiert, wie ich einen Befall feststellen kann.

Ist wohl offensichtlich für viele schon zu viel verlangt...

Genau ich lese einen Artikel um diese wichtigste Information doch anderswo zu finden.
Sehr nützlich....
+2
McErik23.02.21 08:52
MikeMuc

Denn wenn man „zum Installieren“ eh das Adminpasswort eingeben muß (und sei es nur, um die Trägerapp in den Programmeordner zu verschieben), so wäre es doch ein Leichtes, sich in /Library einzugraben?

Wenn man allerdings als Admin unterwegs ist, wird das Adminpasswort weder zum (normalen) „Installieren“ der Trägerapp noch zum Verschieben in den Ordner Programme angefordert.
-1
LoCal
LoCal23.02.21 09:09
Ich kann die Kritik von @@ pocoloco schon verstehen. Mir ging es beim gestrigen heise-Artikel (der MTN-Artikel liest sich wie die Kurzfassung davon) ähnlich.
Es wird explizit auf updater.pkg und update.pkg hingewiesen, obwohl diese sich nicht mehr auf befallenen Systemen befinden dürften, die relevanten Dateien in LaunchAgents werden aber nicht genannt.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
+1
MikeMuc23.02.21 09:10
McErik
Und genau deshalb gibt es von Anfang an bei mir keinen Rechner, bei dem „mit einem Adminaccount“ gearbeitet wird! Ein Account für die tägliche Arbeit und einen „für den Admin“. Lieber werde ich 1x zuviel gefragt, ob man jetzt das Adminpasswort eingeben soll/darf als das ich hinterher aufräumen muß. So hab ich mir mein Umfeld konditioniert
+1
McErik23.02.21 09:25
MikeMuc
McErik
Und genau deshalb gibt es von Anfang an bei mir keinen Rechner, bei dem „mit einem Adminaccount“ gearbeitet wird!

Es ging aber um die Motivation des Malware-Erstellers.
0
Wellenbrett23.02.21 10:23
McErik
MikeMuc

...

Wenn man allerdings als Admin unterwegs ist, wird das Adminpasswort weder zum (normalen) „Installieren“ der Trägerapp noch zum Verschieben in den Ordner Programme angefordert.
Genau das ist ja auch einer der Gründe, warum man nicht mit User-Intensionen im Admin-Account unterwegs sein sollte.
Nachtrag: ah ich sehe gerade, MikeMuc hatte das bereits erwähnt.
0
evanbetter
evanbetter23.02.21 11:48
Sindbad
pocoloco
steht in der oben verlinkten Quelle:

Es gibt 2 Varianten.
Indicators of Compromise in Versions 1 & 2:

~/Library/._insu (empty file used to signal the malware to delete itself)
/tmp/agent.sh (shell script executed for installation callback)
/tmp/version.json (file downloaded from from S3 to determine execution flow)
/tmp/version.plist (version.json converted into a property list)

Wenn Du eines dieser Files findest im Finder mit "Gehe zum Ordner" (oder Shift-Apfel-G) und Eingabe von "/tmp", dann solltest Du Dir Sorgen machen.

(Weitere Kriterien/Files siehe am Ende der o.a. Quelle: )

Wenn nicht, kannst Du jetzt Deinen entspannten Abend genießen.

Wär' halt der Mehrwert von Mactechnews, dass sie das so wie Du kurz auf deusch erklären, ohne dass man auf Englisch auf einer 2km langen Seite durchlesen muss, wie sie draufgekommen sind.
Wer zuletzt lacht, hat's zuletzt geschnallt.
+4
McErik23.02.21 12:10
MikeMuc Wellenbrett
Ich möchte hier keine grundsätzliche Diskussion vom Zaune brechen, ob man den Mac als Admin nutzen sollte oder nicht.

Im konkreten Fall wird davon ausgegangen, dass sich der Nutzer aus falscher Einschätzung dazu entschlossen hat, eine „Update“-App zu laden und zu installieren. In dieser Situation ändert es nichts, ob er als Admin die Träger-App einfach so oder als einfacher Nutzer unter Eingabe des Adminpasswortes installiert. Er will ja installieren!
MikeMuc fragt nun, warum der Ersteller der Malware seine Dateien im Benutzerordner ablegt und sie nicht tiefer im System versteckt.
Ein einfacher Nutzer würde bei einer fälligen Passwortabfrage nicht stutzig werden, weil er zur „Installation“ der App sowieso das Adminpasswort eingeben muss.
Der Malware-Entwickler muss aber auch an die vielen Nutzer denken, die als Admin unterwegs sind. Diese würden sehr wohl stutzig, wenn sie im Zusammenhang mit einer einfachen Installation nach dem Adminpasswort gefragt würden.
Nebenbei sieht man in diesem konkreten Fall, dass es hier einmal etwas sicherer ist, als Admin unterwegs zu sein (man wird eher stutzig).
+2
Weia
Weia23.02.21 12:47
MikeMuc
Dazu noch die Frage: hätten LittleSnitch und Verwandte die Heimtelefoniererei bemerkt und gewarnt oder nicht?
Hätten sie vermutlich.

Aber letztlich ist das genauso unnötig wie das maßlos überschätzte und unverschämt teure Malwarebytes.

Alles, dessen es hier wirklich als Schutz bedurfte, ist eine Software, die kontrolliert, ob sich irgendetwas ungewollt im Autostart-Mechanismus von macOS einnistet. Denn die hier vorliegende Art von Schädling kann überhaupt nur schaden, wenn sie einen Neustart überlebt, und das tut sie nur, wenn sie eine plist in /Library/LaunchDaemons (wird gestartet, wenn der Rechner startet), in /Library/LaunchAgents (wird, wenn sich irgendein Nutzer anmeldet, für diesen Nutzer gestartet) oder /Users/username/Library/LaunchAgents (wird gestartet, wenn sich der Nutzer anmeldet, in dessen Library sie liegt) anlegen kann.

Das überprüft (und meldet ggf. sofort) eine Software wie LaunchControl, deren Hauptzweck freilich das gewollte Anlegen und Bearbeiten solcher Startdateien ist (kostet einmalig 15€) oder BlockBlock des Sicherheitsforschers Patrick Wardle, die sich auf den Sicherheitsaspekt konzentriert auch gleich erlaubt, die Installation zu verhindern. Das ist kostenlos wie alle Apps von ihm, und wenn man alle hat, ist man ziemlich gut geschützt.

Das ist so simpel: Ein Computervirus ist nicht irgendwas Numinoses, gegen das man erst in monatelanger Forschung einen Impfstoff entwickeln muss. Es ist schlicht ein Programm, und das kann nur schaden, wenn es gestartet wird. Und gestartet werden kann es nur vom Nutzer (da hilft dann nur noch Brain 2.0) oder durch den Autostartmechanismus. Wenn man den Autostartmechanismus kontrolliert, hat man vor dieser (verbreitetsten) Art von Schadsoftware 100%ige Sicherheit. Alle übrigen Dateien, die die Virensoftware irgendwo speichert, sind toter, ungefährlicher und belangloser Müll, solange kein Schadprogramm gestartet wird.

Mich packt die kalte Wut, wenn ich sehe, wie Firmen wie Malwarebytes Unwissenheit, Hilflosigkeit und numinose Ängste unbedarfter Nutzer schamlos ausnutzen mit einer opaquen Software (deren Aktionen mir jedenfalls durch Studium ihrer Website nicht klar werden) zu Wucherpreisen.

Haltet Euch an die Website von Patrick Wardle , dort findet ihr praktisch alles, was man zu seiner Sicherheit brauchen kann, es belastet den Rechner nicht und es ist alles kostenlos und – ganz wichtig! – Open Source. Und es ist nicht nur transparent, weil es Open Source ist, sondern auch, weil Patricks Ansatz modular ist – kleine Progrämmchen, die genau jeweils ein Problem angehen. Dadurch habt Ihr auch eine Chance zu verstehen, was da vorgeht und was man dagegen tun kann. Das hilft, diese amorphe Angst vor unbekannten, scheinbar übermächtigen Bedrohungen zu verlieren oder wenigstens zu reduzieren, mit der Unternehmen wie Malwarebytes ihre Geschäfte machen. Computerviren sind letztlich ziemlich banale Dinger.
“I don’t care” is such an easy lie. (The Warning, “Satisfied”)
+10
Wellenbrett23.02.21 13:02
McErik
MikeMuc Wellenbrett
Ich möchte hier keine grundsätzliche Diskussion vom Zaune brechen, ob man den Mac als Admin nutzen sollte oder nicht.
Ich habe da derzeit auch keinen Diskussionsbedarf. Im konkreten Fall wie auch grundsätzlich hätte der Anwender im normalen User-Account eben durch das Dialogfeld für das Passwort noch einen Hinweis bekommen, dass es gerade etwas potentiell Schädliches tut. Darum geht es ja auch gerade.

Weia: toller Beitrag!
+1
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.