© scenicreflections.com

Trojaner
05/03/2011

Erster Schadcode-Baukasten für Mac aufgetaucht

Mit dem Weyland-Yutani-BOT ist ein erstes Malware-Kit aufgetaucht, mit dem im Baukasten-Prinzip Trojaner für MacOS erstellt werden können. Dieser soll unter anderem Eingaben von Passwörtern und Kreditkartennummern in Firefox und Chrome ausspionieren können und zukünftig auch auf dem iPad und Linux funktionieren.

Mac-User sahen sich gegenüber Windows-Nutzern hauptsächlich aus zwei Gründen überlegen: Wegen des Designs der Geräte und weil es kaum Schädlinge für das Betriebssystem Mac OS gibt. Zumindest das letztgenannte könnte sich bald ändern. Das dänische IT-Sicherheitsunternehmen CSIS hat einen ersten, voll funktionsfähigen Schadcode-Baukasten für die Mac-OS-X-Plattform entdeckt.

Der Weyland-Yutani BOT wird in Untergrundforen für 1000 US-Dollar verkauft. Weyland Yutani ist der Name des fiktiven Unternehmens aus den Alien-Filmen, das Kolonien auf fremden Planeten errichtet (das Bild links zeigt das Logo der fiktiven Firma). Ähnliches soll auch der BOT erreichen. Im Baukasten-Prinzip können Schädlinge erstellt werden. Wird so eine infizierte Datei auf einem Mac ausgeführt, nistet sich der Schadcode im System ein und erlaubt es den Rechner als Bot zu nutzen, etwa für ferngesteuerte DDoS-Attacken oder um Spam zu verschicken.

Keylogger inklusive
Der Sicherheitsexperte Brian Krebs hat nachgeforscht und Kontakt mit dem Verkäufer des Schädling-Baukastens aufgenommen. Laut dem Verkäufer unterstützt Weyland-Yutani auch Form-Grabbing für Firefox und Chrome, ein Video soll das beweisen. Beim Form-Grabbing handelt es sich um eine effizientere Form eines Keyloggers. Anstatt alle Tastatureingaben aufzuzeichnen und an den Cyber-Kriminellen zu übertragen, werden nur Eingaben in Web-Formularen weiterschickt, wie etwa Kreditkartendaten und Passwörter, bevor diese verschlüsselt übertragen werden. Das erzeugt weniger Datentransfer und erregt so auch weniger Aufmerksamkeit – der Schadcode bleibt länger unentdeckt.

Der Verkäufer meinte zu Krebs, dass er auch an einem Form-Grabber für den Apple-Standard-Browser Safari arbeite. Der Browser mache aber bisher noch zu viele Probleme. Dafür werden aber für Firefox und Chrome „Web Injects“ unterstützt. Besucht der Nutzer eine Webseite, kann per Web Inject eine kleine Manipulation vorgenommen werden. So könnte etwa beim Login des Online Bankings nicht nur die Verfügernummer und das Passwort für den Login gefordert sein, sondern auch ein TAN-Code. Praktisch für Cyber-Kriminelle: Vorgefertigte Web Injects, die eigentlich für die Windows-Schädling-Baukästen ZeuS und SpyEye erstellt wurden, können mit ein wenig Umformatierung auch in Weyland-Yutani genutzt werden.

Keine rosigen Aussichten
Laut dem Verkäufer versuchen sich mehrere Cyber-Kriminelle an ähnlichen Baukästen, diese seien aber noch nicht bereit. Er hingegen arbeite schon an den nächsten Versionen von Weyland-Yutani, die Schadcodes für Linux und auch das iPad generieren sollen. Ein wenig Hoffnung gibt es aber noch: Die generierten Schädlinge können nicht, wie bei diversen Sicherheitslücken in Windows-Software, unbemerkt auf den Mac gelangen. Öffnet man keine dubiosen eMail-Anhänge und genießt unbekannte Links auf Facebook mit Vorsicht (auch wenn sie scheinbar die persönlichen Interessen ansprechen), ist man vorerst sicher.

Scareware
Neben dem Trojaner-Baukasten wurde vor Kurzem auch eine neue Scareware für MacOS vom IT-Sicherheitsunternehmen Intego entdeckt. Durch Suchmaschinen-Optimierung werden Links zu manipulierten Websites in Seiten wie Google relativ weit oben gereiht. Klickt man so einen Link an, kommt man auf eine Website, öffnet sich ein Fenster im Windows-Look mit einem Virenscan. Nach einer Virenmeldung lädt ein Javascript automatisch eine komprimierte Datei auf den Mac-Rechner. Nach dem Download wird automatisch ein Installationsprogramm gestartet. Um dieses Verhalten zu verhindern, muss in den Safari-Einstellungen die standardmäßig aktivierte Option „’Sichere’ Dateien nach dem Laden öffnen“ deaktiviert werden.

Führt der Nutzer die Installation durch und gibt sein Administrator-Passwort ein, scheint die Software als „MAC Defender“ in der Status-Leiste, nicht aber im Dock auf. MAC Defender sieht einem echten Antiviren-Programm täuschend ähnlich, zeigt dem Nutzer aber Warnmeldungen für Viren an, die überhaupt nicht am Mac sind. Um den Glauben einer Infektion zu verstärken, werden pornografische Websites geöffnet. Dies hört erst auf, wenn der Nutzer über eine ungesicherte Website seine Kreditkartendaten eingibt, um die Vollversion des MAC Defender zu erwerben.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.