Neue Variante des Flashback-Trojaners

Der AV-Softwarehersteller Integro berichtet in seinem Blog von der Entdeckung einer neuen Variante der Mac-Malware Flashback. Der „Flashback.G“ getaufte Trojaner verwendet offenbar neue Methoden der Installation. Der Trojaner kann über manipulierte Webseiten auf den Rechner gelangen („Drive-by-Download“). Zuerst versucht der Trojaner, zwei Java-Sicherheitslücken auszunutzen. Diese sind zwar in der aktuellen Java-Version für den Mac beseitigt, aber viele Mac-Benutzer halten ihr System für so sicher, dass sie Updates nicht für nötig halten. Wird keine Sicherheitslücke gefunden, probiert der Trojaner eine „Social-Engineering“-Methode aus. Der Benutzer sieht eine Warnmeldung, nach der ein von Apple stammendes Zertifikat als ungültig eingestuft ist. Per Mausklick soll die Vertrauenswürdigkeit bestätigt werden. Wer dem nachkommt, der infiziert seinen Rechner.

Betroffen sind vor allem ältere und nicht aktualisierte Versionen von Snow Leopard. Hat sich der Schädling erst auf den Rechner kopiert, setzt er sich im Browser und anderen Internet-basierten Anwendungen wie Skype fest. Das soll in befallenen Systemen zu vermehrten Abstürzen der betroffenen Programme führen.

Der Schädling hat es hauptsächlich auf die Nutzer-Zugangsdaten für Online-Banking-, PayPal- Konten und andere monetäre Dienste abgesehen. Einmal im System kann er also verheerende Schäden anrichten. Eine Infektion lässt sich an Dateien mit der Endung „.so“ im Verzeichnis „/Users/Shared“ erkennen. Die Dateien können unterschiedliche Namen tragen, beispielsweise „.PCImageEditor.so“ oder „.InternetHistoryKiller.so“.

Laut Integro genügt die Installation der AV-Software auch im Nachhinein, um die Heimcomputer vor dem Trojaner zu schützen. Nutzern von Snow Leopard rät Apple nachzusehen, ob ein neues Java-Update in der Softwareaktualisierung zur Verfügung steht.