Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Mac-Malware: Cryptojacking mit manipulierten Apps (z.B. Final Cut) – Apple reagiert

Computer fremder Leute mithilfe von Schadsoftware für das Schürfen von Bitcoin oder anderen Kryptowährungen missbrauchen: Das ist seit Jahren die Methode etlicher krimineller Elemente. Davor sind Mac-Nutzer nicht gefeit, auch wenn der Großteil solcher Angriffe auf Windows-Rechner abzielt. Betroffene bekommen davon zunächst üblicherweise kaum etwas mit, sofern nicht ein Schutzprogramm eingreift und eine entsprechende Warnung ausgibt. Schäden an Daten oder Programmen richtet derlei Malware in aller Regel zwar nicht an, jedoch können die für Cryptojacking eingesetzten Trojaner befallene Computer verlangsamen und für einen erhöhten Stromverbrauch sorgen.


Malware in illegalen Kopien von Final Cut Pro und Logic Pro
Das Sicherheitsunternehmen Jamf Threat Labs entdeckte jetzt eine Cryptoming-Malware, welche speziell auf macOS zugeschnitten ist. Die Angreifer verstecken den Schädling laut einem Blogbeitrag der Experten in illegalen Kopien einiger bekannter und begehrter Apps, welche dann auf Webseiten wie etwa The Pirate Bay angeboten werden. Zu den betroffenen Programmen gehören unter anderem Final Cut Pro und Logic Pro von Apple, aber auch Adobe Photoshop. Die Angreifer manipulieren die Apps und versehen sie mit einem Tool namens XMRig. Dabei handelt es sich um eine legale quelloffene Anwendung zum Schürfen von Kryptowährungen, welche sich aber für kriminelle Zwecke anpassen lässt. Das Kommandozeilen-Programm verfügt nicht über eine grafische Oberfläche, lässt sich also leicht vor den Augen des Nutzers verbergen.

Cryptominer wird bei App-Installation nachgeladen
Die Hacker gehen dabei äußerst clever vor, um die Schutzmaßnahmen von macOS zu umschiffen. In den Paketen der illegalen App-Kopien sind XMRig und weitere Malware nicht enthalten, sondern werden erst beim Setup nachgeladen und auf dem Mac installiert. Den Download verschleiern die Angreifer mithilfe des Invisible Internet Project (I2P), welches den Traffic anonymisiert. Die Mining-Komponente steckt anschließend in einem Prozess namens „mdworker_lokal“, der im Verborgenen seiner Tätigkeit nachgeht.

Apple reagiert mit Update von XProtect
Die Art und Weise des Angriffs sorgt dafür, dass Gatekeeper und XProtect den Schädlich bislang nicht erkennen konnten. macOS meldet zwar beim ersten Aufruf der gehackten Versionen von Logic Pro und Final Cut Pro, dass die Apps beschädigt sind und daher nicht geöffnet werden. Der Cryptominer befindet sich zu diesem Zeitpunkt jedoch bereits auf dem Mac, wird ausgeführt und bleibt unentdeckt. Anti-Malware-Tools von Drittherstellern spüren den Schädling nach derzeitigem Kenntnisstand ebenfalls nicht auf. Apple hat allerdings mittlerweile reagiert und Gegenmaßnahmen ergriffen. Man aktualisiere XProtect kontinierlich und werde künftig die jetzt von Jamf Threat Labs entdeckte Malware blockieren, teilte das Unternehmen laut 9to5Mac mit. Das entsprechende Update wird in Kürze automatisch erfolgen.

Kommentare

TerenceHill
TerenceHill24.02.23 10:13
Selber Schuld, wenn man illegale Raubkopien installiert.
+13
wicki
wicki24.02.23 10:23
TerenceHill
Selber Schuld, wenn man illegale Raubkopien installiert.
Absolut. Vor allem: Raubkopienen von Logic und Final Cut. Das muss man sich mal durch den Kopf gehen lassen.

Auf der einen Seite nämlich müssten doch sehr sehr viele Hobbyisten mit Garage Band und iMovie bis dahin kommen, wo sie hinwollen. Das liefert Apple mit jedem Mac mit. Und für Profis - also Leute die damit Geld verdienen - ist der Preis von Logic und Final Cut so lächerlich gering, dass ich es mir nicht vorstellen kann, dass man eine Raubkopie verwendet.

Vollidioten!
Better necessarily means different.
+10
Deichkind24.02.23 10:27
XProtectPListConfigData 2166 wird seit dem 22. Februar ausgeliefert. Davon profitieren auch ältere Versionen des macOS wie 10.14, die nicht durch XProtectPayloads für den XProtect Remediator versorgt werden.
+4
Epos13924.02.23 12:08
Schade, dass in solchen Zusammenhängen meist als erstes Bitcoin genannt wird, obwohl Bitcoin damit gar nicht zu tun hat. Speziell in diesem Fall ist es absolut falsch, denn mit den normalen Rechnern ist es so gut wie unmöglich Bitcoinmining zu betreiben. Entweder ist es die Unwissenheit der Redakteure oder Böswilligkeit um ein schlechtes Bild auf Bitcoin zu werfen. Ich hoffe auf ersteres.
-5
duerre24.02.23 15:31
Epos139
denn mit den normalen Rechnern ist es so gut wie unmöglich Bitcoinmining zu betreiben.
Wenn man einige tausend oder zehntausende Rechner infiziert, ist das sehr wohl möglich. Zumal die Stromkosten ja auf die Kappe der Infizierten gehen ...
+3
Epos13925.02.23 09:45
duerre

Da das Mining von Bitcoin heutzutage nahezu komplett von ASICs gemacht wird, kann man mit einer normalen CPU/GPU gar nichts ausrichten. Ich habe auf die Schnelle nur zahlen von 2018 parat, aber selbst da brauchte man schon ca 10-12.000 Rechner, die bei Volllast arbeiten um an die Leistung eines ASICs heran zu kommen… die großen Mining Betriebe haben davon zig Tausende am laufen und von diesen Mining betrieben gibt es so einige. Wenn durch Maleware Rechner befallen werden und dort im Hintergrund, ohne dass der Nutzer es bemerken soll, Mining betrieben werden soll, wird die dafür angerufene Leistung minimal sein… gehen wir nur mal von 10% der Rechenleistung aus, bräuchte man doch knapp 120.000 Rechner um an einen ASIC heranzukommen… und mit einem ASIC dauert es Jahre, einen Bitcoin zu minen… also hochgradig ineffizient, da machen andere Coins viel mehr Sinn.
+2

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.