2208436

Keydnap: Malware späht Schlüsselbunddaten aus

30.08.2016 | 16:24 Uhr |

Die Malware Keydnap späht Passwörter aus, die Installation gelingt ihr mit Hilfe einiger simpler Tricks.

Update 30.08.: Die Forscher von ESET haben offenbar herausgefunden , wie sich das Virus auf den befallenen Macs installieren konnte. Eine gefälschte Version der Transmission-App wurde auf der Webseite des Anbieters hochgeladen. Dazu wurde diese Version mit dem gültigen Zertifikat des Entwicklers signiert, so dass die OS-X-Sicherheitsoption Gatekeeper kein Alarm schlagen konnte. Die Betreiber der Transmission-Webseite haben nach Berichten von ESET-Forschern die kontaminierte App sofort gelöscht. Wie sie überhaupt auf der Seite veröffentlicht werden konnte, ist bis jetzt nicht klar. Einen ähnlichen Weg auf die Rechner der Nutzer (ebenfalls über eine kontaminierte Transmission-App) hat nach ESET-Berichten auch der Schädling Keranger gefunden.

Auf eine neue Malware namens Keydnap machen die Sicherheitsforschen des Antivirensoftwareherstellers Eset aufmerksam . Das von den Entdeckern als OSX/TrojanDownloader.Keydnap.A benannte Schadprogramm verbreitet sich möglicherweise per E-Mail oder Tauschbörsen. Der Trick ist eigentlich uralt: Um sich zu installieren, tarnt sich das schon letzte Woche entdeckte Schadprogramm als eine Zip-Datei mit Bilddateien. Nach einem Doppelklick sieht der Anwender allerdings eine Gatekeeper-Warnung, die auf ein fehlendes Entwickler-Zertifikat hinweist. Hat der Anwender aber Gatekeeper deaktiviert oder öffnet die Datei per Kontextmenü, installiert sich ein Hintergrundprogramm. Um dies zu tarnen, öffnet es übrigens wie versprochen eine Bilddatei. Getarnt ist die Backdoor als „icloudsync“, die Kommunikation erfolgt per Tor-Netzwerk. Gefährlich: Beim nächsten Start einer App blendet das Tool ein Fenster mit einer Passwortanfrage ein – durch diesen Trick kann das Programm Root-Rechte erhalten. Aufgabe des Tools ist das Stehlen von Anmeldedaten aus dem Schlüsselbund. Das gelingt ihm (mit begrenztem Erfolg) über das Tool keychaindump, das Zugriff auf entsperrte Einträge ermöglicht.

Die Verbreitung und Herkunft des Tools ist unbekannt, die Warnung durch Gatekeeper sollte aber nach unserer Einschätzung eine weite Verbreitung verhindern. Erkannt werden kann eine Installation über einen Blick in die Launchagents, neben aktuellen Virenscannern   kann man einen Befall auch mit der kostenlosen Software Anti Malware von Malwarebytes prüfen.

0 Kommentare zu diesem Artikel
2208436