Gefälschtes Flash-Update installiert Malware auf Macs

Das SANS Internet Storm Center warnt vor einer neuen Methode, mit der derzeit versucht wird Macs mit Malware zu infizieren. Beim Surfen im Web taucht ein Pop-up auf, das zum Update des Flash Players aufruft. Klickt man auf ok wird man zu einer Website mit einem erneuten Pop-up weitergeleitet, laut dem der Flash Player veraltet ist.

Klickt der User auf „Update“, wird nicht nur der Flash Player, sondern auch Malware installiert. Gatekeeper warnt zwar, dass die Datei aus dem Internet stammt, blockiert aber die Malware nicht. Das liegt daran, dass die Software mit einem Entwickler-Zertifikat ausgestattet ist. Standardmäßig ist Gatekeeper unter OS X so eingestellt, dass mit Entwickler-Zertifikaten signierte Programme ausgeführt werden.

In dem von SANS beschriebenen Fall wird Scareware installiert. Diese gaukelt einen System-Scan vor und empfiehlt ein kostenpflichtiges Programm zur Beseitigung von gefundenen Fehlern herunterzuladen.

Apple hat mittlerweile das Entwickler-Zertifikat widerrufen. SANS geht davon aus, dass bereits neue Varianten der Malware im Netz sein könnten, die noch gültige Zertifikate nutzen. Updates sollten immer nur von der Seite des Herstellers bezogen werden. Bei diesem Beispiel war im ersten Pop-up zu sehen, dass die Aufforderung zum Update von der Website freeupd.free247updatetoolnow.com kam.