Kaspersky warnt vor SabPub als Bedrohung

Anders als der zuletzt zu zweifelhaftem Ruhm gelangte Flashfake-Trojaner, der lediglich die theoretischen Gefahren für ungeschützte Mac-Umgebungen aufgezeigt habe, sei SabPub "ein Beispiel dafür, wie ein ungeschützter Apple-Computer komplett von Cyber-Kriminellen kontrolliert" werden könne. Wie Flashfake nutzt auch SabPub Lücken in Java, die Anzahl der infizierten Rechner sei aber relativ gering.

SabPub infiziert Macs über manipulierte Word-Dokumente, die sich um Tibet und den Dalai Lama drehen und meist per "Spearphishing"-Mail auf dem Mac gelandet sind. Wie Kaspersky herausgefunden haben will, nehmen infizierte Rechner Verbindung zu einem Server in den USA auf, der diverse Befehle verschickt. So hätten auf einer von Kaspersky präparierten Maschine die Angreifer sich diverse Dokumente angesehen. Der Angriff sei manuell erfolgt und wäre nicht von Maschinen gesteuert gewesen, glauben die Sicherheitsexperten. Zudem hätten die Angreifer weitere Malware eingeschleust, es bestehe anscheinend ein Zusammenhang mit den als LuckCat bekannten Angriffen auf Windows-Rechner. In jedem Fall sei von einer konzertierten Aktion auszugehen.

Mit einem Tool von Amsys lässt sich die Malware erkennen und entfernen, berichten unsere Kollegen der Macworld UK. Auch Kaspersky eigene Software Anti-Virus 2011 for Mac mache SabPub unschädlich. Kasperskys Sicherheitschef Alexander Gostev kommentiert die jüngsten Aktivitäten von Malwareentwicklern: "Die SabPub-Hintertür zeigt ein weiteres Mal, dass keine einzige Softwareplattform sicher vor Angriffen ist. Die relativ kleine Anzahl von Malware für Mac-OS X bedeutet keinen besseren Schutz." Angreifer würden entweder durch den steigenden Marktanteil Apples den Mac attraktiv finden oder seien speziell auf Rechner von Apple angesetzt.