2332275

Coldroot RAT: Neue Mac-Malware aufgetaucht

20.02.2018 | 20:43 Uhr |

Eine von den meisten Virenscannern nicht erkennbare Malware hat Patrick Wardle näher analysiert.

Mac-Malware war nie eine große Bedrohung, es erscheinen aber doch immer wieder neue Vertreter. Nicht ganz uneigennützig stellt der Sicherheitsforscher Patrick Wardle immer wieder Malware vor, die sich unerkannt auf den Mac schmuggeln könnte. Eine Malware, die zum Zeitpunkt seines Artikels noch keinem Virenscanner bekannt war, hat er jetzt auf seinem Blog ausführlich analysiert .

Die auf der Antiviren-Software-Seite Virustotal veröffentlichte Software besteht aus einer Datei namens com.apple.audio.driver2 und könnte etwa einem Surfer als Audio-Treiber bereitgestellt werden. Im Hintergrund installiert die Software bei einer Installation eine Hintergrundanwendung und verbindet sich mit einem entfernten Server. Anfällig sind aber nur Macs mit älteren Betriebssystemen wie Sierra, da das Tool versucht, auf eine Systemdatei zuzugreifen (TCC.db), die unter High Sierra geschützt ist. Durch einen Fehler ist die Malware unter High Sierra sogar nicht einmal startfähig.

Um sich auf dem Mac zu installieren nutzt sie einen bekannten Trick, sie versucht sich in der Privacy-Datenabank TCC.db einzutragen. Dadurch erlangt sie zusätzliche Berechtigungen und kann etwa Tastatureingaben erfassen.

Ungewöhnlich ist die Programmiersprache, es handelt sich nämlich um die auf dem Mac selten verwendete Sprache Pascal. Wie Angaben im Quelltext zeigen, basiert die Malware auf einem Programmierbeispiel eines Hackers namens Coldzero, der die Software sogar in einem Youtube-Video vorstellte. Letzteres war bei Redaktionsschluss allerdings bereits nicht mehr verfügbar. Anscheinend wollte der Hacker die Software zum 1.1.2017 zum Verkauf anbieten, woraus aber anscheinend nichts wurde. Trotzdem sieht Wardle in der Malware ein Beispiel dafür, dass sich Malware-Autoren weiterhin mit macOS beschäftigen. Interessant ist bei solchen Fällen auch immer, wie schnell Antivirensoftwarehersteller auf neue Viren reagieren. Bei Redaktionsschluss wurde die Malware nur von dem Virenscanner von Eset erkannt, als „Agent.AI“. Nutzt man eine Software wie Wardles Tool BlockBlock oder eine entsprechende Ordneraktion , demaskiert sich die Malware außerdem beim Versuch einen so genannten Launch Daemon zu installieren - damit sie bei jedem Rechnerstart startet. Ob die Malware auch in freier Wildbahn auftrat, ist ebenfalls nicht bekannt.

Unsere Meinung: Die von Wardle vorgestelle Malware ist nach unserer Einschätzung keine große Bedrohung. Es scheint sich eher um eine Malware-Testversion zu handeln, die durch High Sierra obsolet wurde. Es bestätigt sich aber wieder, dass die regelmäßige Aktualisierung eines Systems mit der beste Schutz gegen Angriffe ist.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2332275