1725961

Kann Pintsized.A der neue Flashback sein?

13.03.2013 | 17:39 Uhr |

Anfang Februar haben wir von Angriffen auf die Firmennetzwerke von Apple, Facebook, Microsoft und Twitter berichtet. Nun haben Sicherheitsexperten von Intego mit dem Trojaner Pintsized.A das Programm entdeckt, das bei den Attacken eingeschleust wurde

Wer erinnert sich nicht an den Flashback-Trojaner , der zu seinen Spitzenzeiten weit über eine halbe Million Rechner infiziert hatte? Über präparierte Webseiten konnte man sich Flashback im Frühjahr 2012 als Drive-by-Infection einfangen – und das meist ohne das Zutun des Mac-Anwenders, denn Flashback nutzte einen Java-Exploit, um auf die Macs der Nuzter zu gelangen.

Anfang Februar dieses Jahres berichteten dann nacheinander die beiden sozialen Netzwerke Twitter und Facebook, sowie Apple und Microsoft, dass es Cyber-Kriminellen gelungen sei, Schadsoftware über eine Zero-Day-Sicherheitslücke in Oracles Java-Plug-in in deren Firmennetzwerke einzuschleusen. Diese Schadsoftware konnte nun von den Malware-Spezialisten von Intego identifiziert werden: Der neue Backdoor-Trojaner trägt die Bezeichnung Pintsized.A („pint-sized“ bedeutet zu Deutsch winzig).

Laut den Kollegen von securityledger.com beschränkte sich die Attacke jedoch nicht nur auf die bereits genannten IT-Firmen und deren Umfeld, sondern durchzog die gesamte US-amerikanische Wirtschaft. Von Seiten der betroffenen Firmen wird jedoch nur sehr vorsichtig mit neuen Informationen zum wirklichen Ausmaß der Attacke umgegangen. Joe Sullivan, der Sicherheitschef von Facebook wird mit den Worten zitiert, dass niemand das gesamte Ausmaß der Attacke kenne.

Im Moment jedenfalls ist völlig unklar, wie der genaue Ablauf und die Funktionsweise der Attacke war. Genauso, wie die Frage nach den Schuldigen ungeklärt ist: Neben den "üblichen Verdächtigen", nämlich Hackern aus China oder dem osteuropäischen Raum, besteht auch der Verdacht, dass es sich angesichts der spezifischen Ziele um eine institutionell angeordnete Aktion gehandelt haben könnte.

Was macht der Trojaner?

Pintsized.A gelangt auf demselben Weg auf einen Mac, wie seiner Zeit der Flashback-Trojaner, nämlich über präparierte Websiten als Drive-by-Infection – wie genau der Weg um Apples Gatekeeper herum aussieht, ist derzeit aber noch unklar. Eigentlich soll der mit OS X Lion 10.7.5 und Mountain Lion eingeführte Torwächter dafür sorgen, dass keine unsignierte Software mehr auf den heimischen Macs installiert werden kann.

Im Falle des Sicherheitsbruches bei Apple war der Auslöser der Infektion die Seite iPhoneDevSDK.com, bei Microsoft, Twitter und Facebook andere sogenannte „Watering Holes“. Im IT-Security-Jargon nennt man Attacken, die durch das Präparieren einer dritten Seite durch Cyber-Kriminelle oder Hacker begonnen wird, „Watering Hole“-Attacken. So werden gezielt Seiten aus dem direkten Nutzungsumfeld der Zielpersonen oder Unternehmen ausgewählt und Sicherheitslücken der Seiten ausgenutzt, um die Seite zum Angreifer umzufunktionieren – wie im Falle von iPhoneDevSDK.com meist, ohne dass die Betreiber das merken.

Einmal auf einen Mac gelangt, versteckt sich Pintsized.A als sogenannte cupsd auf dem infizierten Mac. Cupsd sind weit verbreitete Bestandteile von Linux-Druckertreibern, die von OS X als Teil der eigenen Druckersoftware verwendet werden. Eine hervorragende und effektive Tarnung!

Laut Intego setzt Pintsized.A auf den betroffenen Systemen ein Reverse Shell auf, um dann über eine modifizierte Version von OpenSSH 6.0p1 eine verschlüsselte Verbindung zu seinem Kontrollserver aufzubauen. Dabei tarnt sich die Verbindung als vermeintlicher Systemprozess corp-aapl.com . Da Apple unter dem Kürzel AAPL an der Börse notiert ist, dürfte den meisten Anwendern das Sicherheitsleck gar nicht auffallen.

Wie gefährlich ist der Trojaner?

Ohne das Risiko verharmlosen zu wollen: Pintsized.A war Teil einer groß angelegten Cyber-Attacke auf führende Technologie-Konzerne und große Teile der US-Wirtschaft, Kleinanwender gehören eher nicht in das Zielspektrum. Zumal nach Angaben des Betreibers der kompromittierten iPhone-Developer-Seite iPhoneDevSDK.com, Ian Sefferman, nicht alle Besucher der Seite mit dem Backdoor-Trojaner infiziert wurden, sondern nur Teile der Besucher. Nach welchen Kriterien diese Auswahl erfolgt ist, bleibt unklar. Wir halten die Bedrohung – jedenfalls im Moment – für überschaubar, beobachten die Situation aber natürlich weiter und informieren Sie auf macwelt.de über neue Entwicklungen.

Empfehlung

Zum jetzigen Zeitpunkt lässt sich Pintsized.A nicht mit Flashback auf eine Ebene stellen, auch wenn sie scheinbar auf ähnliche Weise ihren Weg auf die Systeme der Mac-User finden. Auf jeden Fall lohnt es sich, sein System auf den Befall hin zu untersuchen. Dafür eignen sich neben den gängigen kostenpflichtigen Tools von Kaspersky Lab , Intego , oder F-Secure auch kostenlose Tools wie ClamXav . Um Sicherheitsproblemen mit Oracles Java SE vorzubeugen, sollten Sie auch über eine Abschaltung des Java-Browser-Plug-ins nachdenken.

0 Kommentare zu diesem Artikel
1725961