1803628

Trojaner OSX.Janicab.A entdeckt

25.07.2013 | 10:33 Uhr |

Sicherheitsexperten haben einen neuen Trojaner entdeckt, der mit einer gültigen Developer-ID signiert ist und so am Gatekeeper von Mountain Lion vorbei schlüpfen kann.

Sicherheitsforscher von F-Secure , Avast und Webroot berichten in ihren Blogs darüber, dass man einen neuen Trojaner mit der Bezeichnung " OSX.Janicab.A " entdeckt hat. Dieser schafft es unter Verwendung einer gültigen Apple Developer ID vorbei an dem mit OS X Mountain Lion eingeführten Sicherheitssystem Gatekeeper, der nicht signierte Programme aussperren soll. Der Schädling kapert dabei das infizierte System und nimmt über eine präparierte Seite bei Youtube Kontakt mit einem Command-and-Control (C&C) Server auf. Der Schädling kann auf einem infizierten Rechner den Bildschirm aufnehmen und Ton mitschneiden, die aufgenommenen Daten schickt der Trojaner auf den C&C-Server.

Links sehen Sie die präparierte PDF-Datei mit ihrer wirklichen Endung ".app".
Vergrößern Links sehen Sie die präparierte PDF-Datei mit ihrer wirklichen Endung ".app".

Dabei tarnt sich der Schädling unter Zuhilfenahme des speziellen Unicode-Zeichensatztes "right-to-left-override" (RLO) als einfaches und harmloses PDF-Dokument und verbirgt so seine tatsächliche Dateiendung ".app". Der OS X Character Viewer nutzt den hier zweckentfremdeten Zeichensatz eigentlich für die korrekte Darstellung von Sprachen wie Hebräisch, in denen von Rechts nach Links geschrieben wird, um die eigentliche Dateiendung zu verschleiern.

Bis Apple Xprotect aktualisiert und die genutzte Developer-ID ungültig gemacht hat, heisst es wachsam sein, ein aktuelles Anti-Malware-Tools nutzen und aufmerksam mit PDF-Dateien umgehen. Außerdem sollte man auf die Sicherheitsmeldungen achten, die OS X beim Öffnen von heruntergeladenen Programmen anzeigt: Ist diese nämlich aufgrund des "right-to-left-overrides" rückwärts geschrieben, sollten Sie auf "Abbrechen" klicken und die Datei in den Papierkorb legen.

Gut zu erkennen: Die Meldung von OS X ist rückwärts geschrieben, also: Finger weg!
Vergrößern Gut zu erkennen: Die Meldung von OS X ist rückwärts geschrieben, also: Finger weg!
0 Kommentare zu diesem Artikel
1803628