Mutmaßliche Mac-Trojaner zielen auf Kryptowährungen – Ursprung Nordkorea?

Macs erfreuen sich großer Beliebtheit, anscheinend auch zunehmend bei Malware-Entwicklern. Sicherheitsforscher des MDM-Anbieters Jamf sind einer Serie von sechs Programmen auf der Spur, mit denen Schadcode auf Macs geschmuggelt werden soll. Um einer frühzeitigen Entdeckung zu entgehen, setzen die Apps auf dynamische Bibliotheken, wie sie bei Frameworks wie Flutter zum Einsatz kommen.

Mit dem Google-Framework Flutter lässt sich Software für mehrere Betriebssysteme zugleich entwickeln: Entwickler schreiben ihre Funktionen in der Programmiersprache Dart, um ihr Projekt anschließend für beispielsweise Windows, macOS und Android auszugeben. Der ursprüngliche Programmcode wird dabei kompiliert und in einer dynamischen Bibliothek (dylib) verpackt. In dieser Form ist es deutlich schwerer, Funktionen automatisiert auf problematische Codesegmente zu analysieren.

Komponenten zum Nachladen zusätzlichen Programmcodes verbergen sich in einem vorkompilierten dynamischen Bibliothek. (Quelle: Jamf Threat Labs)

Programmcode wird nachgeladen
Eine Mac-App mit dem Titel „New Updates in Crypto Exchange“ etwa bestand weitestgehend aus einem in Flutter umgesetzten Minesweeper-Klon, welcher quelloffen im Netz bereitsteht. Beim ersten Start versucht das Programm, Kontakt zu Servern aufzunehmen, welche in der Vergangenheit häufig von Kriminellen nordkoreanischen Ursprungs genutzt wurden. Anscheinend versucht die App, weitere Instruktionen herunterzuladen. Dieser Server ist mittlerweile offline – bei einem Laborversuch konnten Jamf-Sicherheitsforscher in einer kontrollierten Netzwerkumgebung die Anfrage auf eigene Rechner umbiegen. Darüber angebotener AppleScript-Code wurde von der Flutter-App ausgeführt.

Varianten in Go und Python
Neben der Flutter-Version existieren weitere Software-Projekte ähnlichen Aufbaus, die mit anderen Frameworks umgesetzt wurden: Ein in Golang verfasstes Programm namens „New Era for Stablecoins and DeFi, CeFi (Protected).app“ sowie eine in Python geschriebene und mit Py2App kompilierte Variante mit dem Titel „Runner.app“. Einige der in der Schadsoftwaredatenbank „VirusTotal“ entdeckten Apps waren mit einem Entwickler-Zertifikat signiert. Eine aktuelle Gefahr scheint – zumindest von beobachteten Varianten – nicht auszugehen: Kontaktierte Server sind offline, Zertifikate mittlerweile ungültig. Eventuell waren dies auch nur Testversionen, mit denen böswillige Hacker mit verschiedenen Mechanismen experimentierten, um einer frühzeitigen Entdeckung zu entgehen.

Kommentare

MacTaipan13.11.24 17:45

Moment, Leute laden sich einen Minesweeper-Klon, der sich „New Updates in Crypto-Exchange“ nennt? Wirft das nicht an sich schon einige Fragezeichen auf, und noch dazu völlig unnötig? Wieso gibt man dem Ding nicht einen Namen, der nach Minesweeper-Klon klingt? Oder verstehe ich etwas miss?

pocoloco13.11.24 18:35

MacTaipan

Oder verstehe ich etwas miss?

Ja, nebulös. Vielleicht ist der Minesweeper-Klon nur der Hebel, um die dylb zu laden.
1. Anwender startet „New Updates in Crypto-Exchange“.
2. App startet, lädt dylib.
3. Dylib lädt Schadcode.
4. Anwender sieht Minesweeper - erste Enttäuschung.
5. Schadcode tut, was er soll - zweite Enttäuschung / Entsetzen beim Anwender.

Mutmaßliche Mac-Trojaner zielen auf Kryptowährungen – Ursprung Nordkorea?

Kommentare

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.