Security Bite: Gefährliche Malware in diesen häufig raubkopierten macOS-Anwendungen gefunden

Diskutiere, Security Bite: Gefährliche Malware in diesen häufig raubkopierten macOS-Anwendungen gefunden in iPhone News forum; Sicherheitsforscher haben einen neuen Malware-Stamm entdeckt, der in einigen häufig...
  • Security Bite: Gefährliche Malware in diesen...
Sicherheitsforscher haben einen neuen Malware-Stamm entdeckt, der in einigen häufig raubkopierten macOS-Anwendungen versteckt ist. Einmal installiert, führen die Anwendungen unwissentlich trojanerähnliche Malware im Hintergrund des Macs des Benutzers aus. Was von hier an passiert, ist nichts Gutes..

Bei der Untersuchung mehrerer Bedrohungswarnungen stießen die Forscher des Jamf Threat Lab auf eine ausführbare Datei mit dem Namen .fseventsd. Die ausführbare Datei verwendet (nicht zufällig) den Namen eines tatsächlichen Prozesses, der in das macOS-Betriebssystem integriert ist und dazu dient, Änderungen an Dateien und Verzeichnissen zu verfolgen und Ereignisdaten für Funktionen wie Time Machine-Backups zu speichern. Allerdings ist .fseventsd keine ausführbare Datei. Es handelt sich um ein natives Protokoll. Darüber hinaus stellte Jamf fest, dass Apple die verdächtige Datei nicht signiert hat.

"Solche Merkmale rechtfertigen oft weitere Untersuchungen", so Jamf Threat Labs in einem Blogbeitrag über die von Ferdous Saljooki und Jaron Bradley geleitete Untersuchung. "Mithilfe von VirusTotal konnten wir feststellen, dass diese merkwürdig aussehende .fseventsd-Binärdatei ursprünglich als Teil einer größeren DMG-Datei hochgeladen wurde."

Das Duo entdeckte fünf Disk-Image-Dateien (DMG), die modifizierten Code von häufig raubkopierten Anwendungen enthalten, darunter FinalShell, Microsoft Remote Desktop Client, Navicat Premium, SecureCRT und UltraEdit.

"Diese Anwendungen werden auf chinesischen Raubkopier-Websites gehostet, um Opfer zu gewinnen", erklärt Jamf. "Sobald die Malware explodiert ist, lädt sie mehrere Nutzdaten herunter und führt sie im Hintergrund aus, um den Rechner des Opfers heimlich zu kompromittieren."

Während die Anwendungen oberflächlich betrachtet wie beabsichtigt aussehen und sich verhalten, wird im Hintergrund ein Dropper ausgeführt, um die Kommunikation mit einer vom Angreifer kontrollierten Infrastruktur herzustellen.

Auf einer höheren Ebene führt die .fseventsd-Binärdatei drei bösartige Aktivitäten aus (in dieser Reihenfolge). Zunächst wird die bösartige Dylib-Datei (dynamische Bibliothek) geladen, die als Dropper fungiert und jedes Mal ausgeführt wird, wenn die Anwendung geöffnet wird. Anschließend wird eine Backdoor-Binärdatei heruntergeladen, die das Open-Source-Befehls- und Kontrolltool (C2) Khepri sowie ein Downloader verwendet, der die Persistenz einrichtet und zusätzliche Nutzdaten herunterlädt.

Das Open-Source-Projekt Khepri ermöglicht es Angreifern, Informationen über das System eines Opfers zu sammeln, Dateien herunter- und hochzuladen und sogar eine Remote-Shell zu öffnen, erklärt Jamf. "Es ist möglich, dass diese Malware ein Nachfolger der ZuRu-Malware ist, da sie gezielte Anwendungen, modifizierte Ladebefehle und die Infrastruktur der Angreifer nutzt.

Interessanterweise bleibt die Khepri-Backdoor in einer temporären Datei versteckt und wird gelöscht, sobald der Mac des Opfers neu gestartet oder heruntergefahren wird. Die bösartige Dylib wird jedoch erneut geladen, wenn der Benutzer die Anwendung das nächste Mal öffnet.

Security Bite: Gefährliche Malware in diesen häufig raubkopierten macOS-Anwendungen gefunden


Wie Sie sich schützen können


Jamf geht davon aus, dass dieser Angriff in erster Linie auf Opfer in China (auf [.]cn-Websites) abzielt, aber es ist wichtig, sich die mit raubkopierter Software verbundenen Gefahren vor Augen zu führen. Leider erwarten viele derjenigen, die raubkopierte Anwendungen installieren, Sicherheitswarnungen, weil die Software nicht legal ist. Das führt dazu, dass sie schnell auf die Schaltfläche "Installieren" klicken und dabei alle Sicherheitswarnungen von macOS Gatekeeper übergehen.

Installieren Sie außerdem seriöse Antiviren- und Anti-Malware-Software. Auch wenn diese spezielle Malware unentdeckt durchschlüpfen kann, ist es immer gut, eine zusätzliche Verteidigungsschicht auf dem Mac zu haben.

Mehr zum Thema Sicherheit und Datenschutz



Arin folgen:Twitter (X), LinkedIn, Threads

 
A
Shona

Lösungsvorschläge

Hey,

Diese Artikel werden dir weiterhelfen:
Thema: Security Bite: Gefährliche Malware in diesen häufig raubkopierten macOS-Anwendungen gefunden

Similar threads: Security Bite: Gefährliche Malware in diesen häufig raubkopierten macOS-Anwendungen gefunden

Security Bite: Diese als GTA 6 getarnte macOS-Malware erbeutet Keychain-Passwörter: Bei der Analyse verschiedener Splitterproben eines bemerkenswerten macOS-Diebstahlprogramms entdeckten die Sicherheitsforscher von Moonlock ein...
Security Bite: Ransomware-Zahlungen erreichen Rekordwert von 1,1 Milliarden Dollar im Jahr 2023 trotz Rückgang im Vorjahr: Das Jahr 2023 war ein Meilenstein für Ransomware und nach den MOVEit- und MGM Resorts-Stränden, die die Sicherheitsbranche erschütterten, auch ein...
Security Bite: Nutzen Sie diese iPhone Datenschutz- und Sicherheitsfunktionen in iOS 17.3, mehr: Letzte Woche habe ich in Security Bite eine Schwachstelle in Stolen Device Protection, einer neu hinzugefügten Sicherheitsfunktion in iOS 17.3...

iPhone 13 Pro Data Security

in iPhone Allgemein
iPhone 13 Pro Data Security: I have an IPhone 13 Pro with Apple care +. Few weeks back I noticed that the coverage option under settings is showing it as expired. I tried to...
Was ist das Apple Rapid Security Response Update und wie kann es aktiviert werden?: Haben Sie schon von einer neuen Apple-Funktion für Sicherheitsupdates auf iPhone, iPad und Mac gehört? Diese Funktion heißt Rapid Security...
Apple veröffentlicht Rapid Security Response iOS 16.5.1 erneut, um eine Sicherheitslücke zu schließen: Nach einem holprigen Start hat Apple ein Rapid Security Response Update für iOS 16.5.1 und macOS Ventura 13.4.1 veröffentlicht. Apple hat Anfang...
Zurück
Oben