Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

SysJoker läuft nativ auf M1-Macs: Neue Schadsoftware für macOS, Windows und Linux entdeckt

Die Gefahr lauert in einer angeblichen Videodatei – und die Bedrohung betrifft Mac-Nutzer ebenso wie Besitzer von Windows- und Linuxrechnern. Eine vor Kurzem entdeckte Malware namens SysJoker kann nämlich von ihren Entwicklern universell auf den drei Betriebssystemen eingesetzt und für diverse Angriffe genutzt werden. Auch Eigentümer eines MacBook, iMac oder Mac mini mit M1-Chip verschont der neue Schädling nicht, denn er läuft nativ auf Computern mit Apples hauseigenen Prozessoren.


SysJoker tarnt sich als Video-Datei
SysJoker wurde zunächst von Sicherheitsforschern des Cybersecurity-Unternehmens Intezer auf WIndows- und Linux-Computern entdeckt. Kurz danach stellte sich heraus, dass auch eine Variante für macOS existiert. Der bekannte Malware-Experte und Entwickler Patrick Wardle schaute sich die auf Macs abzielende Version der Schadsoftware daraufhin genauer an und veröffentlichte detaillierte Informationen in einem Blogbeitrag auf Objective-See. SysJoker kommt im Gewand einer Datei mit dem Namen types-config.ts daher, tarnt sich also als Videofile, wie es etwa auf DVDs zum Einsatz kommt. Tatsächlich handelt es sich allerdings um ein ausführbares Universal Binary für Intel- und M1-Macs.

Nachgeladene Payloads ermöglichen diverse Angriffe
Wird die Schadsoftware zum ersten Mal gestartet, kopiert sie sich unter dem Namen updateMacOs in den Ordner Library/MacOsServices/ des aktuell angemeldeten Nutzers. Das führt dazu, dass SysJoker bei jedem Systemstart automatisch ausgeführt wird. Anschließend baut die Malware eine Verbindung zu einem Command-and-Control-Server auf und versucht, eine Payload herunterzuladen. Diese für einen Trojaner nicht ungewöhnliche Vorgehensweise eröffnet vielfältige Angriffsmöglichkeiten, etwa das Abgreifen von Passwörtern und Bankdaten oder Ransomware-Attacken, bei denen Kriminelle die auf SSDs und Festplatten gespeicherten Informationen verschlüsseln.

Anti-Malware-Tools können den Schädling erkennen
Patrick Wardle zufolge kursiert SysJoker bereits seit einiger Zeit. Die Sicherheitsmechanismen von macOS sowie andere Anti-Malware-Tools sind daher seiner Meinung nach bereits in der Lage, den Schädling zu erkennen. Wer wissen möchte, ob er sich die Schadsoftware dennoch bereits unbemerkt auf seinem Intel- oder M1-Mac eingefangen hat, kann beispielsweise die von Wardle entwickelten kostenlosen Apps KnockKnock, LuLu und BlockBlock nutzen. Windows- und Linux-Nutzer sollten zu den üblichen Anti-Viren-Programmen greifen.

Kommentare

system7
system720.01.22 10:08
"updateMacOs in den Ordner Library/MacOsServices/ "

Macht es Sinn, dort eine Datei mit dem gleichen Dateinamen reinzulegen? Mit Schreibschutz?

"Apps KnockKnock, LuLu und BlockBlock nutzen."
Kann man die bedenkenlos oder -arm installieren?
+2
topress20.01.22 10:21
Ordner MacOsServices?
Hab ich gar keinen am Mac ...
0
Plüschprum20.01.22 10:25
system7
"updateMacOs in den Ordner Library/MacOsServices/ "

Macht es Sinn, dort eine Datei mit dem gleichen Dateinamen reinzulegen? Mit Schreibschutz?

"Apps KnockKnock, LuLu und BlockBlock nutzen."
Kann man die bedenkenlos oder -arm installieren?

Die Software stellt meiner Meinung nach kein Problem dar. Die Namen klingen seltsam. Aber gerade „KnockKnock“ funktioniert super.
+1
F303
F30320.01.22 10:28
Findet Malwarebytes das auch?
The brain is a wonderful organ. It starts working the moment you get up in the morning and does not stop until you get into the office. – Robert Frost
+1
Marcel Bresink20.01.22 10:30
system7
"updateMacOs in den Ordner Library/MacOsServices/ "
Macht es Sinn, dort eine Datei mit dem gleichen Dateinamen reinzulegen? Mit Schreibschutz?

Nein, in /Library herrscht sowieso bereits Schreibschutz. Da der Angriff den Schreibschutz immer aufhebt, ist das sinnlos.
system7
Kann man die bedenkenlos oder -arm installieren?

Für LuLu sollte man schon einige Netzwerk- und Systemkenntnisse haben, ansonsten führt das eher zu mehr Problemen.
+1
Motti
Motti20.01.22 10:41
F303
Findet Malwarebytes das auch?

Ich denke schon.. die Frage stellte sich mir auch. Sowieso das Beste was es für Mac gibt
+1
Dicone
Dicone20.01.22 11:05
Kann mal jemand erläutern wie die Schadsoftware an die Passwörter kommt? Sind diese nicht verschlüsselt und ohne Root/Admin Passwort nicht einsehbar?
-1
lamariposa20.01.22 11:18
topress
Ordner MacOsServices?
Hab ich gar keinen am Mac ...
Weil du die Malware nicht hast - die muss ja auch den Ordner erst einmal anlegen. Jedenfalls verstehe ich das so. Da liegt das startup object, gestartet wird die Malware über das startup file „com.apple.update.plist“ welches im Ordner „LaunchAgents“ liegt - und den hast du , allerdings ohne das besagte File drin (da du die Malware ja nicht hast).
Steht alles so im verlinkten Beitrag …
0
topress20.01.22 11:27
[/quote]
Weil du die Malware nicht hast - die muss ja auch den Ordner erst einmal anlegen. Jedenfalls verstehe ich das so. Da liegt das startup object, gestartet wird die Malware über das startup file „com.apple.update.plist“ welches im Ordner „LaunchAgents“ liegt - und den hast du , allerdings ohne das besagte File drin (da du die Malware ja nicht hast).
Steht alles so im verlinkten Beitrag …
[/quote]

Ahhhh, danke für die Aufklärung!
0
Oceanbeat
Oceanbeat20.01.22 11:39
Laienfrage: Wie schafft es die Malware, den Schreibschutz zu umgehen…?
Wenn das Universum expandiert, werden wir dann alle dicker...?
0
Marcel Bresink20.01.22 11:47
OK, das war eine Fehlinformation.
In manchen Berichten war von "/Library" die Rede, es geht aber in Wirklichkeit um "~/Library", also den Ordner des Benutzers. Dort darf der Benutzer, der die Schadsoftware startet, natürlich immer schreiben.

Das heißt, wenn ein Administrator (der jemand anders als dieser Benutzer sein muss) den Ordner "~/Library/MacOsServices/" ohne Schreibrecht für den jeweiligen Benutzer anlegt, wäre das schon ein primitiver Schutz.

Es kann natürlich in Zukunft passieren, dass Viren-Scanner diesen Ordner automatisch wieder löschen.
+3
Liebling
Liebling20.01.22 11:52
Motti
F303
Findet Malwarebytes das auch?

Ich denke schon.. die Frage stellte sich mir auch. Sowieso das Beste was es für Mac gibt

interessiert mich jetzt auch...
0
Weia
Weia21.01.22 02:55
Liebling
Motti
F303
Findet Malwarebytes das auch?
Ich denke schon.. die Frage stellte sich mir auch. Sowieso das Beste was es für Mac gibt
interessiert mich jetzt auch...
Wofür braucht ihr bitteschön eine extra Software, um festzustellen, ob der Ordner ~/Library/MacOsServices/ existiert? Wenn er nicht existiert, habt ihr das Virus nicht, wenn er existiert, löscht ihr ihn und habt das Virus nicht mehr.
“I don’t care” is such an easy lie. (The Warning, “Satisfied”)
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.