Malware per Fake-News
Wie macwelt.de dazu unter Berufung auf Twitteraccount @noarfromspace informierte, versteckt sich die Malware in einem gefälschten Blog, der dem des Herstellers für Sicherheitssoftware Symantec täuschend ähnlich sieht. Dazu heißt es weiter, dass unter symantecblog.com alle Inhalte des echten Unternehmensblogs gespiegelt sind, erkennbar ist die Fälschung aber an einer verdächtigen E-Mail-Adresse in der Domain-Registrierung und einem von Dritten eingereichten SSL-Sicherheitszertifikat.
Im Rahmen einer Fake-News wird berichtet, dass die Malware von 2014 namens CoinThief eine neue Runde durch das Netz drehen würde. Zur Entfernung wird dann der Symantec Malware Detector angepriesen, der letztendlich den Trojaner OSX.Proton enthält und nun auf dem Mac installiert wird. Den Link auf die Malware verbreiten nun mehrere Twitter-Konten, gefälschte wie echte, die womöglich über eine frühere Proton-Attacke kompromittiert wurden – OSX.Proton hat es vorwiegend auf Passworte aller Art abgesehen.
Angriffe mit gültigem Zertifikat
Wie dazu verlautete war der Schädling bereits Ende Oktober aktiv. Nach einem Angriff auf den FTP-Server des Softwareherstellers Eltima hatte sich OSX.Proton in die Programme Elmedia Player und Folx eingeschlichen – diese hat Eltima aber längst wieder in sauberen Fassungen veröffentlicht und seine Infrastruktur mit Apples Hilfe gegen Angriffe abgesichert. Der Angriff gelang vor allem deshalb, weil das legitime Entwicklerzertifikat von Eltima benutzt wurde.
Auch die neue Version des Trojaners nutzt ein gültiges Zertifikat mit dem Identifier E224M7K47W, das auf einen Entwickler namens Sverre Huseby läuft. Nach dem ersten Aufruf der App und einem Klick auf die unter einem Symantec-Logo angezeigte Schaltfläche "Check" verlangt der Installer nach einem Admin-Passwort, das man aber keinesfalls eingeben sollte.
Weiterführende Links:
macwelt.de: Malware OSX.Proton verbreitet sich über gefälschten Symantec-Blog
