Mac-Trojaner lernt neue Tricks: Atomic Stealer immer schwerer aufzuspüren
Seit Anfang 2023 macht auf Macs eine Malware die Runde, die es auf sensitive Daten abgesehen hat. Sie erstellt ein umfangreiches Datenpaket an persönlichen Informationen und individuellen Zugangsdaten. Obendrein will sie Kryptowährungen extrahieren. Dafür sucht sie nach Daten der Kryptowallet-App der Firma "Binance" sowie mehrerer Erweiterungen des Chrome-Browsers. Aktuell ist eine neue Variante im Umlauf, die ihre Existenz besser zu verbergen gelernt hat.
Sicherheitsforscher von Bitdefender bemerkten bei der Analyse der
neu entdeckten Version große Ähnlichkeiten mit dem Trojaner "RustDoor". Die neuartige Methodik kombiniert ein Python-Skript, das wiederum ein AppleScript ausführt. Darüber werden Daten aus dem Cookie-Speicher von Safari gesammelt, die keychain-db-Datei der macOS Schlüsselbundverwaltung kopiert, spezifische Chrome-Extension-Daten verbreiteter Krypto-Wallets sowie Dateien vom Schreibtisch- und Dokumente-Ordner mit spezifischen Endungen zusammengetragen. Dazu gesellt sich noch das Systemprofil des kompromittierten Macs. Die gesammelten Informationen machen sich schließlich übers Netz auf den Weg zu den Entwicklern der Malware.
Mac-Anwender muss Software selbstständig installierenSicherheitsbewussten Anwendern wird der mit dem "Atomic Stealer" ausgestattete Software-Installer höchstwahrscheinlich suspekt vorkommen: Das Installationspaket ist eingebettet in Hinweise, wie Anwender die systemeigenen Schutzmaßnahmen von macOS außer Gefecht setzt. Zudem erscheint eine gefälschte Eingabeaufforderung für das Admin-Kennwort des Rechners. Das so abgegriffene Passwort erlaubt dem Trojaner weitreichenden Systemzugriff, den er für seinen Beutezug durch die macOS-Ordnerstruktur einsetzt.
Ein solches Eingabefeld sollte man nicht mit dem eigenen Kennwort füttern. Quelle:
BitDefenderDas Datenpaket umfasst gerade mal 1,3 MByte und kann somit huckepack in allen möglichen tatsächlichen oder scheinbaren Raubkopie-Angeboten reisen. Im November tauchten Varianten auf, die sich als
Safari-Update ausgaben. Wer lediglich signierte Apple-Software sowie aus dem Mac App Store installiert, ist auf der sicheren Seite. Die in macOS vorgesehenen Sicherheitsvorrichtungen sollte man nur für Open-Source-Software aus vertrauenswürdigen Originalquellen umgehen. Systemsoftware (wie zum Beispiel Safari) sollten Mac-Anwender in Ventura und Sonoma nur über den Dialog "Allgemein/Softwareupdate" der Einstellungen-App installieren.
Mac-Anwender wiegen sich in falscher SicherheitZunehmend wird auch die Mac-Plattform zum lukrativen Ziel für Malware-Entwickler. Dabei wähnen sich zu viele weiterhin auf der sicheren Seite: Eine vor kurzem erschienene
Studie offenbarte, welch laxen Umgang viele Unternehmen mit Sicherheitsmaßnahmen auf der Mac-Plattform pflegen.