Malware für macOS kann Schlüsselbund, Crypto-Wallets und Browser-Daten auslesen
Momentan ist der Mac vor Viren und Malware recht gut geschützt. Dies liegt aber nicht nur an der Sicherheit der Plattform, sondern auch an der geringen Verbreitung: Entwickler konzentrieren sich aufgrund des größeren Marktanteils eher auf Windows im Client-Markt und auf Linux im Server-Umfeld. Doch Anwender sind nicht völlig geschützt: Es gibt auch Schadsoftware für den Mac – und aktuell wird eine solche Software über einen Telegram-Kanal zur Miete angeboten.
Sicherheitsforscher von
Cyble sind auf eine neue Malware gestoßen: Atomic macOS Stealer, kurz AMOS. Der Entwickler verspricht eine kontinuierliche Weiterentwicklung, doch auch in der aktuellen Fassung ist der Funktionsumfang der hauptsächlich in Google Go geschriebenen Malware beeindruckend:
Schlüsselbund und Crypto-WalletsÜber eine gefälschte Passwort-Abfrage gelangt AMOS an das Benutzer-Passwort – und kann auf die Art und Weise die im Schlüsselbund abgelegte Passwörter abgreifen. Hierunter fallen unter anderem Login-Daten zu Webseiten, WLAN-Passwörter und Kreditkarten-Daten. Die Malware ist ferner in der Lage, lokal gesicherte Daten zu Crypto-Wallets wie Electrum, Finance, Exodus oder Atomic auszulesen und zu übermitteln. Hier untersucht AMOS installierte Wallet-Apps, aber auch Browser-Erweiterungen.
Browser-Informationen und DateienDaten von allen gängigen Browsern sind ebenfalls nicht sicher: AMOS kann die Daten von Safari, Chrome, Microsoft Edge, Brave, Yandex, Opera und Vivaldi auslesen und an den Angreifer übermitteln. Dieser erhält daraufhin viele sensible Informationen, wie zum Beispiel Autofill-Passwörter, Kreditkarten-Daten und Session-Cookies. AMOS ist auch an lokalen Dateien des Nutzers interessiert: Die Malware übermittelt automatisch den Inhalt des Dokumente-Ordners und des Schreibtischs an den Angreifer.
Mitwirken des Nutzers erforderlichDie angebotene Malware ist allerdings auf die Mithilfe des Nutzers angewiesen: Die Installation erfolgt nämlich über ein DMG, welches dem Ziel untergeschoben werden muss. Dies geschieht oftmals über Webseiten, auf denen normalerweise kostenpflichtige Apps günstig oder umsonst zum Download angeboten werden. Anstelle der App erhält der Nutzer hier oftmals Malware, welche sich hinter Namen wie "Setup.dmg" oder "Updater.dmg" versteckt. Auf die Art und Weise soll das Ziel überlistet werden, das DMG zu mounten und die darauf befindliche App zu starten. Auch muss der Nutzer explizit sein Nutzer-Passwort eingeben, damit die Malware aktiv werden kann. Das Eingabeformular sieht allerdings dem Dialog aus macOS zum Verwechseln ähnlich, weswegen hier Vorsicht geboten ist.
Der Entwickler verlangt für den Einsatz der Malware ab 1.000 Dollar pro Monat. Die gesammelten Daten schickt AMOS an vorher festgelegte Telegram-Kanäle, um diese dem Angreifer zugänglich zu machen.