Mac-Malware perfekt getarnt

Schädling kommt per Website

Wie mactechnews.de dazu informierte, hat der Softwarehersteller Intego, der selbst Antiviren-Programme anbietet, die Malware entdeckt. Auf einen Mac gelangt der Trojaner über diverse Webseiten, die zum Teil sogar weit oben in den Ergebnissen einer Google-Suche auftauchen.

Wer den entsprechenden Link anklickt, gelangt über mehrere Weiterleitungen dann zur Seite mit dem gefälschten Flash-Player. Auch auf einer Internetseite, die angeblich kostenlose Comics anbietet, wurde der Schädling entdeckt.

Malware prüft die Systemumgebung

„OSX/CrescentCore“ ist wie andere Vertreter seiner Art in einer DMG-Datei enthalten. Diese täuscht vor, eine Installations- oder Update-App für den Flash-Player zu sein. Startet man das Programm, prüft der Trojaner zunächst, ob er in einer virtuellen Maschine ausgeführt wird. Damit soll sich die Malware vor der Entdeckung durch Sicherheitsforscher schützen, da diese ihre Analysen in aller Regel zu Quarantänezwecken in einem virtuellen Computer durchführen. Im nächsten Schritt checkt „OSX/CrescentCore“ das System auf das Vorhandensein einer Antiviren-Software. Verläuft eine der beiden Prüfungen positiv, beendet sich der Schädling unmittelbar.

Dauerhafte Infektion mit Schadsoftware

Falls der Trojaner feststellt, dass er weder in einer virtuellen Maschine ausgeführt wird noch ein Virenschutzprogramm aktiv ist, installiert in einigen Fällen eine App namens „LaunchAgent“. Andere Varianten der Malware verankern einen „Advanced Mac Cleaner“ oder eine Safari-Erweiterung im System.

Zertifikate sind widerrufen

Für die Installation von „OSX/CrescentCore“ nutzen die Malware-Programmierer diverse Developer-Zertifikate, die auf den Namen „Sanela Lovic“ registriert sind. Diese hat Apple bereits aus dem Verkehr gezogen. Integos hauseigene Antiviren-Software ist schon in der Lage, den Schädling zu erkennen, andere Hersteller werden mit Sicherheit in kürzester Zeit ebenfalls auf die neue Bedrohung reagieren.