© REUTERS / CHINA STRINGER NETWORK

Digital Life
06/06/2019

Mac-Malware schleust Bing-Ergebnisse in Google-Suche ein

Die Malware nutzt eine relativ komplexe Methode, um die Suchergebnisse der Konkurrenz-Plattform einzuschleusen.

Eine neue Mac-Malware modifiziert den Browser so, dass bei einer Google-Suche die Ergebnisse von Microsofts Konkurrenten Bing angezeigt werden. Das haben Sicherheitsforscher des israelischen Unternehmens AiroAV herausgefunden. Der Nutzer merkt davon nichts, die Suchergebnisse werden im Google-typischen Layout angezeigt.

Was die Angreifer damit bezwecken, ist unklar. Die Sicherheitsforscher vermuten, dass diese mit den Suchergebnissen auch eigene Werbung ausliefern, über die diese Einnahmen lukrieren. Das ist ein typisches Geschäftsmodell für derartige Malware: Werbung wird an scheinbar unverdächtigen Stellen eingeschleust, die Angreifer streifen für die Vermittlung Gebühren ein. Derartige Adware operiert oftmals auch im Hintergrund, um Werbebetrug zu betreiben. So sorgte zuletzt ein Adware-Netzwerk für Aufsehen, das auf betroffenen Geräten unbemerkt im Hintergrund Video-Werbung abspielte und so den Daten- und Energieverbrauch erheblich steigerte. Die Drahtzieher dürften sich auf diesem Weg Beträge in Millionenhöhe erschlichen haben.

Angreifer müssen kreativer werden

Die nun entdeckte Malware betrifft ausschließlich Geräte mit Apples Desktop-Betriebssystem macOS. Diese gibt sich als angebliches Update für das Adobe-Flash-Plug-in aus. Im Zuge des Installationsprozesses erschleicht sich die Malware Nutzername und Passwort des macOS-Systems, um im Hintergrund einen Proxy zu konfigurieren, über den der gesamte Netzwerk-Traffic umgeleitet wird. Zudem nutzt die Malware die Zugangsdaten, um sich selbst ein Root-Zertifikat auszustellen und so auch in verschlüsselte HTTPS-Verbindungen einzugreifen, ohne dass der Browser Alarm schlägt.

Das komplexe Vorgehen zeige aber laut den Sicherheitsforschern auch, dass die zuletzt von Apple ergriffenen Maßnahmen Wirkung zeigen. Früher konnte derartige Adware relativ leicht über Browser-Erweiterungen eingeschleust werden, mittlerweile prüft Apple diese aber genauer.