Cyber-Kriminelle haben Apple im Visier
Das Interesse von Cyber-Kriminellen für das Betriebssystem OS X wächst, was sich in einer erhöhten Anzahl an Viren und Trojanern widerspiegelt. Aktuell bestehen die meisten Bedrohungen für das Apple Betriebssystem in Werbe-Trojanern und Applikationen, die unerwünschte Software installieren. Dazu zählt auch der bereits Anfang 2015 entdeckte Adware.Mac.Tuguu.1. Dieser ermöglicht eine verdeckte Installation von böswilligen Applikationen auf dem infizierten Endgerät und verbreitet sich als Software für OS X.
Funktionsweise Adware.Mac.Tuguu.1:
Beim Starten liest Adware.Mac.Tuguu.1 die Konfigurationsdatei ".payload", welche in dem Verzeichnis liegt, aus dem die Software gestartet wurde. Anschließend nimmt der Schädling Kontakt zum Verwaltungsserver auf, ändert danach die URL, um die Spuren zu verwischen und fragt dort nach einer Liste mit weiteren zu installierenden Applikationen, wobei der Datenaustausch stets verschlüsselt ist. Insgesamt kann der Schädling 736 verschiedene Anwendungen zur Installation vorschlagen und prüft diese noch vor der Installation auf Kompatibilität. Adware.Mac.Tuguu.1 versucht auch sicherzustellen, dass eine solche Applikation im System zuvor nicht installiert war und die Installation erfolgreich abgeschlossen wurde.
Angriffe auf Online-Banking
Eine große Gefahr bilden hier die Rmnet-Botnets. Rmnet ist eine Familie von Datei-Viren, die sich ohne Teilnahme des Benutzers verbreiten. Sie sind in der Lage, sich in Webseiten einzubetten und ermöglichen Cyber-Kriminellen z.B. Zugangsdaten für das Online-Banking zu entwenden sowie Cookies und FTP-Passwörter auszulesen. Immer noch ist das Botnet Win32.Rmnet.12, das auf Basis von Win32.Sector eingerichtet wurde, aktiv.
Der Schädling zeigt folgende Aktivitäten:
- Download von Dateien aus dem P2P-Netzwerk mit anschließendem Start auf Workstations
- Einbettung in diverse andere Prozesse
- Antivirensoftware deaktivieren und den Zugriff der Entwickler blockieren
- Dateien auf Festplatten, Wechseldatenträgern und Systemverzeichnissen infizieren
Rasanter Anstieg von Linux-Malware
Ein weiterer Trend ist die rasant zunehmende Anzahl von Linux-Malware: im Dezember 2015 haben die Virenanalysten von Doctor Web Linux.Rekoobe.1 entdeckt.
Linux.Rekoobe.1
Nach der Infektion lädt dieser auf Befehl der Cyber-Kriminellen Dateien herunter, die mit dem CLI (command-line interpreter) interagieren können, wobei die Verbindung zum Befehlsserver über einen Proxy erfolgt.
Die ersten Versionen von Linux.Rekoobe.1 zielen speziell auf Geräte mit einer SPARC-Architektur.
Ferner haben die Doctor Web Analysten sowohl für die 32-, als auch 64-Bit-Versionen von Linux unterschiedlichste Variationen entdeckt. Allen ist gemeinsam, dass sie mit ausgeklügelten Kontrollalgorithmen zur Dateiverschlüsselung ausgerüstet sind.
Obwohl der Code ziemlich kompliziert ist, kann die Malware nur drei Befehle ausführen: Dateien herunter- und hochladen sowie Befehle an den CLI weitergeben und diese an einen Remote-Server weiterleiten. Dadurch können Cyber-Kriminelle ein infiziertes Gerät per Fernzugriff kontrollieren.
Malware und gefährliche Applikationen für mobile Endgeräte
Im Dezember 2015 konzentrierten sich Cyber-Kriminelle auch auf mobile Endgeräte. Die Trends in der mobilen IT-Sicherheitsszene im Dezember 2015 lauten wie folgt:
- Weiter zunehmende Verbreitung von Bankentrojanern
- Aufkommen neuer Schädlinge, die mittels SMS versendet werden
- Neue Trojaner für das iOS von Apple
