Schadsoftware

Wenn die EXE-Datei den Mac angreift

von - 12.02.2019
Schadsoftware auf dem Mac
Foto: Tetiana Yurchenko / Shutterstock.com
Sicherheitsforscher haben eine schädliche EXE-Datei entdeckt, die es speziell auf Nutzer von Apples macOS-System abgesehen hat. Über einen Trick hebelt die Schadsoftware sogar die  Gatekeeper-Schutzfunktion aus.
Da die meiste Schadsoftware für Windows-Systeme programmiert wird, haben Nutzer von macOS und Linux meist nicht viele Gefahren im Netz zu fürchten. Allzu unbedacht sollten sich Anwender aber auch auf diesen Systemen nicht verhalten, wie ein aktueller Virenfund von Trend Micro belegt: Die Sicherheitsexperten haben eine EXE-Schadsoftware entdeckt, die für den Angriff von Macs vorgesehen ist und sogar die Gatekeeper-Funktion umgeht.
Schädliche EXE-Datei
Im Installer der DMG-Datei verbirgt sich die schädliche EXE.
(Quelle: Trend Micro )
Gatekeeper sorgt bei Apples Desktop-Betriebssystem standardmäßig dafür, dass ausschließlich vertrauensvolle und signierte Software ausgeführt wird. Diese stammt entweder direkt aus dem App Store oder von verifizierten Entwicklern. Bei der Überprüfung beschränkt sich die Lösung allerdings auf native Dateien, die für den Mac relevant sind, wie etwa DMGs. Die aus Windows bekannten EXE-Dateien gehören hingegen nicht dazu.

Malware in bekannter App versteckt

Dieses Einfallstor nutzen die Entwickler der neuen Schadsoftware aus und verstecken die schädliche EXE-Datei innerhalb des Installers der Firewall-App Little Snitch. Daneben verbirgt sich dort auch das Mono Framework, über welches sich Anwendungen vom Typ Microsoft .NET plattformübergreifend auch auf macOS ausführen lassen. Anschließend erfolgt die Verbreitung der infizierten App über verschiedene Torrent-Webseiten.
Einmal gestartet sammelt die Malware verschiedene Systeminformationen und Angaben zu den installierten Apps. Die erbeuteten Informationen sendet die Schadsoftware anschließend an einen Command-and-Control-Server. Darüber hinaus werden weitere Adware-Programme nachgeladen, darunter auch ein gefälschter Flash Player.
Trend Micro geht davon aus, dass die aktuelle Version der Malware den Cyberkriminellen noch als Test-Exemplar dient. Sie wollen damit Erfahrungen für die Entwicklung sammeln und weitere Einsatzmöglichkeiten erkunden.
Verwandte Themen