Ein angebliches System-Update
Es war die Sicherheitsfirma Checkpoint, die die Mac-Malware kürzlich entdeckte, wie heise.de berichtete. Die Malware unter dem Namen DOK besitzt ein Apple Entwicklerzertifikat und hat somit Einsicht in den verschlüsselten Datenverkehr des Rechners.
Das geht allerdings nur wenn der betroffene Nutzer nach Ausführung von DOK ein Administratorpasswort eingibt. Danach erfolgt die Installation eines neuen Root-Zertifikats, das schließlich das Ausspionieren von HTTPS-Verbindungen erlaubt.
Infektion über Phishing-Mail
Laut Checkpoint geschieht die Infektion der Nutzer über Phishing Mails. Dort heißt es, dass es zu Unregelmäßigkeiten im Steuerbescheid gekommen wäre. Die Betroffenen werden dann genötigt, zur Behebung des Problems eine Datei herunterzuladen.
Da die Schaddatei über ein Apple-Entwicklerzertifikat verfügt lässt sich diese auch ohne jegliche Warnung des Systems ausführen. Das bedeutet, dass der macOS-Systemschutz nicht aktiv wird. Die Malware installiert sich im Verzeichnis "/Users/Shared/" und soll auch nach Neustarts als Autostart-Eintrag erhalten bleiben.
Die Phishing-Mail
„OS X Updates“ verfügbar
Ist die Malware installiert wird dem Nutzer angezeigt, dass "OS X Updates" verfügbar seien. Allerdings bestünde ein Sicherheitsproblem. Nun soll der Nutzer ein Administratorpasswort eingeben. Ein Zugriff auf andere Programme soll währenddessen nicht möglich sein.
Laut Checkpoint legt die Malware einen Proxy an, um den Datenverkehr über einen Man-in-the-middle-Angriff auszuleiten. Wie weiter dazu verlautete ist Apple über den Angriff informiert, hat den Systemschutz XProtect aber bisher nicht aktualisiert. Das Zertifikat sollte Apple ebenfalls zurückziehen, so Checkpoint
Weiterführende Links:
checkpoint.com: OSX Malware is Catching Up, and it wants to Read Your HTTPS Traffic
heise.de: Malware mit Apple-Entwicklerzertifikat spioniert HTTPS-Traffic aus
