Mac-Malware entzieht sich Sicherheitsforschern und Antiviren-Software
„OSX/CrescentCore“ heißt ein neuer Schädling für macOS. Der Trojaner kommt im Gewand eines Installationsprogramms für den Flash-Player daher und nutzt Techniken, mit denen er sich der Entdeckung durch Virenschutzprogramme entziehen soll.
Webseiten liefern den Schädling ausAufgespürt hat die Mac-Malware der Softwarehersteller
Intego, welcher selbst Antiviren-Programme anbietet. Auf einen Mac gelangt der Trojaner über diverse Webseiten, die zum Teil sogar weit oben in den Ergebnissen einer Google-Suche auftauchen. Wer den entsprechenden Link anklickt, gelangt über mehrere Weiterleitungen dann zur Seite mit dem gefälschten Flash-Player. Auch auf einer Internetseite, die angeblich kostenlose Comics anbietet, wurde der Schädling entdeckt.
Malware prüft die Systemumgebung„OSX/CrescentCore“ ist wie andere Vertreter seiner Art in einer DMG-Datei enthalten. Diese täuscht vor, eine Installations- oder Update-App für den Flash-Player zu sein. Startet man das Programm, prüft der Trojaner zunächst, ob er in einer virtuellen Maschine ausgeführt wird. Damit soll sich die Malware vor der Entdeckung durch Sicherheitsforscher schützen, da diese ihre Analysen in aller Regel zu Quarantänezwecken in einem virtuellen Computer durchführen. Im nächsten Schritt checkt „OSX/CrescentCore“ das System auf das Vorhandensein einer Antiviren-Software. Verläuft eine der beiden Prüfungen positiv, beendet sich der Schädling unmittelbar.
Dauerhafte Infektion mit SchadsoftwareFalls der Trojaner feststellt, dass er weder in einer virtuellen Maschine ausgeführt wird noch ein Virenschutzprogramm aktiv ist, installiert in einigen Fällen eine App namens „LaunchAgent“. Andere Varianten der Malware verankern einen „Advanced Mac Cleaner“ oder eine Safari-Erweiterung im System. In allen Fällen ist der betroffene Mac dauerhaft infiziert, dem Nachladen weiterer Malware ist damit Tür und Tor geöffnet. Angreifer könnten so etwa Passwörter und Bankdaten abgreifen oder zu erpresserischen Zwecken die Festplatten im Rechner verschlüsseln.
Zertifikate sind widerrufenFür die Installation von „OSX/CrescentCore“ nutzen die Malware-Programmierer diverse Developer-Zertifikate, die auf den Namen „Sanela Lovic“ registriert sind. Diese hat Apple bereits aus dem Verkehr gezogen. Integos hauseigene Antiviren-Software ist schon in der Lage, den Schädling zu erkennen, andere Hersteller werden mit Sicherheit in kürzester Zeit ebenfalls auf die neue Bedrohung reagieren.