Mac-Malware: Cryptojacking mit manipulierten Apps (z.B. Final Cut) – Apple reagiert
Computer fremder Leute mithilfe von Schadsoftware für das Schürfen von Bitcoin oder anderen Kryptowährungen missbrauchen: Das ist seit Jahren die Methode etlicher krimineller Elemente. Davor sind Mac-Nutzer nicht gefeit, auch wenn der Großteil solcher Angriffe auf Windows-Rechner abzielt. Betroffene bekommen davon zunächst üblicherweise kaum etwas mit, sofern nicht ein Schutzprogramm eingreift und eine entsprechende Warnung ausgibt. Schäden an Daten oder Programmen richtet derlei Malware in aller Regel zwar nicht an, jedoch können die für Cryptojacking eingesetzten Trojaner befallene Computer verlangsamen und für einen erhöhten Stromverbrauch sorgen.
Malware in illegalen Kopien von Final Cut Pro und Logic ProDas Sicherheitsunternehmen Jamf Threat Labs entdeckte jetzt eine Cryptoming-Malware, welche speziell auf macOS zugeschnitten ist. Die Angreifer verstecken den Schädling laut einem
Blogbeitrag der Experten in illegalen Kopien einiger bekannter und begehrter Apps, welche dann auf Webseiten wie etwa The Pirate Bay angeboten werden. Zu den betroffenen Programmen gehören unter anderem Final Cut Pro und Logic Pro von Apple, aber auch Adobe Photoshop. Die Angreifer manipulieren die Apps und versehen sie mit einem Tool namens XMRig. Dabei handelt es sich um eine legale quelloffene Anwendung zum Schürfen von Kryptowährungen, welche sich aber für kriminelle Zwecke anpassen lässt. Das Kommandozeilen-Programm verfügt nicht über eine grafische Oberfläche, lässt sich also leicht vor den Augen des Nutzers verbergen.
Cryptominer wird bei App-Installation nachgeladenDie Hacker gehen dabei äußerst clever vor, um die Schutzmaßnahmen von macOS zu umschiffen. In den Paketen der illegalen App-Kopien sind XMRig und weitere Malware nicht enthalten, sondern werden erst beim Setup nachgeladen und auf dem Mac installiert. Den Download verschleiern die Angreifer mithilfe des Invisible Internet Project (I2P), welches den Traffic anonymisiert. Die Mining-Komponente steckt anschließend in einem Prozess namens „mdworker_lokal“, der im Verborgenen seiner Tätigkeit nachgeht.
Apple reagiert mit Update von XProtectDie Art und Weise des Angriffs sorgt dafür, dass Gatekeeper und XProtect den Schädlich bislang nicht erkennen konnten. macOS meldet zwar beim ersten Aufruf der gehackten Versionen von Logic Pro und Final Cut Pro, dass die Apps beschädigt sind und daher nicht geöffnet werden. Der Cryptominer befindet sich zu diesem Zeitpunkt jedoch bereits auf dem Mac, wird ausgeführt und bleibt unentdeckt. Anti-Malware-Tools von Drittherstellern spüren den Schädling nach derzeitigem Kenntnisstand ebenfalls nicht auf. Apple hat allerdings mittlerweile reagiert und Gegenmaßnahmen ergriffen. Man aktualisiere XProtect kontinierlich und werde künftig die jetzt von Jamf Threat Labs entdeckte Malware blockieren, teilte das Unternehmen laut
9to5Mac mit. Das entsprechende Update wird in Kürze automatisch erfolgen.