Für Antiviren-Tools noch unbekannt
Noch ist die Schadsoftware “Mughthesec” für Antiviren-Tools eine Unbekannte, wie heise.de unter Berufung auf die Analysen des Sicherheitsforschers Patrick Wardle berichtete. Ausgerüstet mit einem Apple-Entwicklerzertifikat gelingt es, dass die in macOS integrierte Schutzfunktion Gatekeeper bei der Installation der Malware nicht anschlägt.
Wie es weiter dazu heißt zieht Apple die Zertifikate, die in jüngster Zeit wieder verstärkt für den Vertrieb von Schadsoftware zum Einsatz zu kommen scheinen, gewöhnlich relativ schnell zurück. Wie verlautete hatte Wardle ein Sample des Schädlings von einem betroffenen Nutzer erhalten und näher studiert.
Mugthesec tarnt sich als Flash-Player
Wie Wardle entdeckte tarnt sich die Malware als Flash-Player, um Nutzer zur Installation zu verführen. Obwohl der Installer sogar auf Adware-Tools hinweist, die eingespielt werden sollen, was offensichtlich viele Nutzer überlesen, erfolgt die Installation. Im Ergebnis erhält der Nutzer dann “Advanced Mac Cleaner”, Safe Finder und Booking.com. Advanced Mac Cleaner gaukelt verschiedene Probleme vor, die sich durch den Kauf der Software lösen lassen sollen.
Der Safe Finder dient laut Wardle dazu den Browser zu manipulieren. Mughthesec setzt eine neue Homepage und manipuliert Suchergebnisse mit eigenen Affiliate-Links. Derzeit scheint nur Apples vorinstallierter Browser Safari davon betroffen, dort wird auch eine Extension installiert.
Fazit
Laut Wardle ist die Mac-Malware nicht sonderlich ausgeklügelt. Es soll sich um eine neue Variante bereits bekannter Adware, die als SafeFinder/OperatorMac geführt wird, handeln. Sie ist durch eine Signatur geschützt und kann vorläufig nicht von AV-Software erkannt werden. Sie infiziert aktiv Mac-Nutzer. Betroffene Nutzer können Mugthesec zwar manuell entfernen, wie Wardle anmerkt, doch könnte der Installer auch andere Malware einspielen – am besten sei deshalb wohl eine Neuinstallation von macOS.
Weiterführende Links:
heise.de: Mughthesec: Signierte Mac-Malware im Umlauf
