2189834

Windows-Adware Pirrit auf den Mac portiert

12.04.2016 | 13:14 Uhr |

Die bösartige Software macht auf dem Mac das gleiche wie unter Windows – sie verseucht den Browser mit Werbung. Doch die Malware kann deutlich mehr.

Die Adware Pirrit wurde bereits 2014 entdeckt und von Microsoft in die Malware-Datenbank eingetragen. Zwei Jahre später taucht die gleiche Malware nun auf dem Mac auf. Die Sicherheitsforscher der Firma Cybereason haben als Erste den Code auseinandergenommen, die Entwickler von Kaspersky haben die Bedrohung bestätig. Auf einem befallenen Rechner verhält sich die  OS-X-Variante von Pirrit wie das Windows-Pendant: Der komplette Internet-Traffic wird über einen Port weitergeleitet, jede Verbindung erfolgt danach über einen Proxy-Server, der sich zwischen dem Browser und den angeforderten Seiten schaltet. Über diesen Proxy-Server wird auf den Seiten Werbung ausgespielt - das eigentliche Ziel der Malware.

Doch die Sicherheitsforscher haben in dem Code weit mehr Potential entdeckt , als nur Werbung auf den Internet-Seiten zu schalten. Damit dies überhaupt möglich ist und die Schad-Software die Kontrolle über der Internet-Verbindung übernehmen kann, installiert sich auf dem Mac ein unsichtbarer Nutzer, der Root-Rechte erlangt. Die Forscher von Cybereason vermuten, die Angreifer täuschen ein Flash-Update vor und zwingen so den Nutzer, das Admin-Passwort einzugeben. Danach installiert sich die Schad-Software auf der Maschine und arbeitet im Hintergrund. Der Nutzer kann nur schwer die Spuren von OSX.Pirrit finden, außer dass sich die Internet-Verbindung sehr verlangsamt und die Webseiten plötzlich mit Werbung überfüllt sind. Der bösartige Code findet zunächst die eindeutige Indentifikationsnummer des Macs, schickt diese zu einem Command-and-Control-Server, gleichzeitig wird ein Länder-Code vergeben. Steht der verseuchte Mac in den USA, Deutschland, Frankreich oder weiteren westeuropäischen Ländern, wird die Standard-Suchmaschine durch trovi.com ersetzt. Das Tool ändert auch die Startseiten in Safari, Firefox und Chrome. Nach der Browser-Umkonfigurierung erfolgt dann noch die Umleitung auf den Proxy-Server, von dem die Werbung kommen soll.

Damit der Nutzer nicht merkt, dass die Schadsoftware die Kontrolle über den Mac übernommen hat, wird der neue angelegte Nutzer versteckt. Der Code ändert dazu die Einstellungen in der Datei /Library/Preferences/com.apple.loginwindow, ab dann ist der neue Nutzer weder in den Systemeinstellungen, noch im Start-Screen zu sehen.

Eine Anleitung, wie man OSX-Pirrit auf dem Mac findet und entfernt, haben die Forscher auf Github hochgeladen.

0 Kommentare zu diesem Artikel
2189834