Mac-Malware: Word-Dokument nutzt US-Präsidenten als Lockvogel

macOS ist das Ziel

Sicherheitsforscher ermittelten eine neue Schadsoftware, die Apples Desktopbetriebssystem macOS angreift, berichtete zdnet.de unter Berufung auf die Erkenntnisse verschiedener Malwareanalysten. Das fragliche Dokument beinhaltet Informationen zur Wahl des US-Präsidenten Donald Trump, wie AppleInsider ebenfalls dazu berichtet.  Gefahr droht Nutzern vor allem dann, wenn sie die Ausführung von Makros in Office-Dokumenten aktiviert haben.

Microsoft warnt diesbezüglich alle Nutzer davor, Makros beim Öffnen eines Dokumentes zu aktivieren. Anderenfalls kommt es zur Ausführung eines Python- Skripts, das wiederum prüft ob das Sicherheitstool Little Snitch aktiv ist. Ist das nicht der Fall wird ohne jegliche Rückfrage Schadcode von einer vorgegebenen URL geladen und auch ausgeführt.

Cyberkriminelle kopierten Python-Skript

Das Python-Skript stammt den Forschern zufolge aus dem Open-Source-Project EmPyre, einem Post-Exploitation-Framework. Das Skript hätten die Cyberkriminellen nahezu „Wort für Wort“ übernommen.

Eine exakte Schadcode Analyse war den Sicherheitsforschern nicht möglich. Sie vermuten jedoch, dass die Malware versucht sich auf einem Mac einzunisten, um so bei jedem Start ausgeführt zu werden. Damit sei es für die Angreifer möglich, zahlreiche sensible Daten zu sammeln. Darunter seien Keylogger oder Tools für das Auslesen der Zwischenablage oder das Anfertigen von Screenshots. Auch unerlaubte Zugriffe auf iMessage und eine angeschlossene Webcam seien möglich.

Expertenurteil

Der Sicherheitsforscher Patrick Wardle beschreibt die Malware als „nicht besonders fortschrittlich“, da ein Nutzer zuerst die Ausführung von Macros erlauben müsse. Mit dem Nutzer nähmen die Hacker jedoch das „schwächste Glied“ in der Sicherheitskette ins Visier. Zudem nutzten sie eine legitime Funktion von Makros, um daraus einen Angriffsvektor zu machen, der sich nicht patchen lasse.