Generierung von Werbeeinnahmen vermutet
Wie futurezone.at dazu berichtete, ist das Ziel der Angreifer unklar. Die Sicherheitsforscher vermuten, dass diese mit den Suchergebnissen auch eigene Werbung ausliefern, über die diese Einnahmen lukrieren. Das ist ein typisches Geschäftsmodell für derartige Malware: Werbung wird an scheinbar unverdächtigen Stellen eingeschleust, die Angreifer streifen für die Vermittlung Gebühren ein.
Derartige Adware operiert oftmals auch im Hintergrund, um Werbebetrug zu betreiben. So sorgte zuletzt ein Adware-Netzwerk für Aufsehen, das auf betroffenen Geräten unbemerkt im Hintergrund Video-Werbung abspielte und so den Daten- und Energieverbrauch erheblich steigerte. Die Drahtzieher dürften sich auf diesem Weg Beträge in Millionenhöhe erschlichen haben.
Angreifer müssen kreativer werden
Die nun entdeckte Malware betrifft ausschließlich Geräte mit Apples Desktop-Betriebssystem macOS. Diese gibt sich als angebliches Update für das Adobe-Flash-Plug-in aus. Im Zuge des Installationsprozesses erschleicht sich die Malware Nutzername und Passwort des macOS-Systems, um im Hintergrund einen Proxy zu konfigurieren, über den der gesamte Netzwerk-Traffic umgeleitet wird. Zudem nutzt die Malware die Zugangsdaten, um sich selbst ein Root-Zertifikat auszustellen und so auch in verschlüsselte HTTPS-Verbindungen einzugreifen, ohne dass der Browser Alarm schlägt.
Das komplexe Vorgehen zeige aber laut den Sicherheitsforschern auch, dass die zuletzt von Apple ergriffenen Maßnahmen Wirkung zeigen. Früher konnte derartige Adware relativ leicht über Browser-Erweiterungen eingeschleust werden, mittlerweile prüft Apple diese aber genauer.
Weiterführende Links:
MITM Proxy: New Search Hijack Method on Mojave
futurezone.at: Mac-Malware schleust Bing-Ergebnisse in Google-Suche ein