Neuartige Schadsoftware trickst Apples Gatekeeper aus: Mac-User sollten wachsam sein
Die Auseinandersetzung zwischen den Herstellern von Betriebssystemen und Malware-Programmierern gleicht seit Jahrzehnten einem Wettlauf zwischen Hase und Igel. Während etwa Apple und Microsoft macOS und Windows mit ausgefeilten Methoden besser abzusichern versuchen, umgehen Hacker und Kriminelle die Schutzvorkehrungen immer wieder und hebeln sie aus. Eine neuartige Schadsoftware gefährdet aktuell unter anderem die Besitzer von Macs, auf welchen macOS Catalina zum Einsatz kommt.
Altes Muster mit neuem TrickDie Sicherheitsforscher von
Intego machten jetzt eine Malware ausfindig, welche zwar nach einem seit langem bekannten Muster vorgeht, durch einen neuen Trick jedoch Apples Sicherheitsmechanismen überwinden kann. Wie zahlreiche bereits in der Vergangenheit entdeckte Mac-Schadsoftware kommt sie im Gewand eines Flash-Installers daher. Dem Nutzer wird dabei mithilfe von manipulierten Suchergebnissen auf Google suggeriert, dass sein Flash Player veraltet ist und ein Update benötigt. Bestätigt der User die fingierte Warnmeldung mit OK, wird wie auch bei seriösen Anwendungen ein Laufwerks-Image mit der Dateiendung DMG heruntergeladen. Nach dem Öffnen präsentiert die Malware dann den üblichen Installationshinweis. Dieser unterscheidet sich allerdings von den bekannten Anleitungen in einem entscheidenden Punkt.
Gatekeeper wird mithilfe des Nutzers ausgetrickstDie Malware, bei der es sich Intego zufolge um eine Weiterentwicklung der Trojaner OSX/Shlayer und OSX/Bundlore handelt, fordert nämlich nicht dazu auf, das angebliche Flash-Installationsprogramm durch einen Doppelklick zu starten. Vielmehr soll der Nutzer einen Rechtsklick auf das Icon ausführen und dann auf "Öffnen " klicken. Dieses Verfahren veranlasst Apples Gatekeeper, nicht den normalen Warnhinweis anzuzeigen, welcher lediglich den Abbruch der Installation oder das Löschen der Software anbietet. Statt dessen erscheint ein Pop-Up-Fenster, das zusätzlich die Möglichkeit bietet, die App unmittelbar zu starten. Klickt der Nutzer auf "Öffnen", installiert der Trojaner zunächst tatsächlich den Flash Player, anschließend allerdings Schadsoftware, welche unter Umständen weitere Malware nachlädt.
Malware verbreitet sich bereits über das InternetIntego zufolge verbreitet sich die neuartige Schadsoftware bereits über das Internet, der Trick kommt also schon aktiv zum Einsatz. Zum Zeitpunkt der Entdeckung wurde der Trojaner von keiner Antiviren-Software erkannt. Es dürfte allerdings nicht allzu lange dauern, bis die Hersteller die entsprechenden Signaturen in ihre Definitionsdateien aufgenommen haben. Die Gefahr, von diesem Trojaner befallen zu werden, ist jedoch ohnehin eher als gering einzustufen, da er ohne die Mithilfe des Nutzers nicht auf einen Mac gelangen kann. Zudem sollte sich mittlerweile herumgesprochen haben, dass Flash nahezu bedeutungslos ist. Adobe stellt den Player bekanntlich zum Ende dieses Jahres ein.