2288245

Mac-Malware Fruitfly kontrollierte hunderte Rechner

28.07.2017 | 12:17 Uhr |

Eine genauere Analyse der im Januar entdeckten Malware OSX.Backdoor.Quimtchin oder Fruitfly zeigte eine große Anzahl befallener Macs.

Update vom 28. Juli:

Der Sicherheitsspezialist Patrick Wardle hat jetzt die Unterlagen zu seiner Präsentation bei Black Hat veröffentlicht , die einige technische Hintergründe erläutert.

Ursprünglicher Artikel

Echte Mac-Malware ist immer noch selten, so erregte die Malware OSX.Backdoor.Quimtchin oder Fruitfly viel Aufsehen. Die erstmals i m Januar bekannt gewordene Software kann über einen zentralen Server gesteuert werden, nimmt Bildschirmfotos auf und protokolliert die Laufzeit des Macs. Zugriff auf die Mac-Kamera ist ebenfalls möglich, ein zweites Skript und ein Java-Tool sind enthalten.

Mittlerweile ist bereits eine zweite Version der Software aufgetaucht , die sich der Sicherheitsspezialist Patrick Wardle näher angesehen hat. Um die Funktionen zu analysieren, ging er einen recht ungewöhnlichen Weg: Für die Kontrolle des Mac und Weitergabe der Informationen kommuniziert die Malware mit einer ganzen Serie von Servern. Wardle konnte die Domain einiger dieser als Backup gedachten Webadressen registrieren und wollte so prüfen, welche Daten an diese Server bzw. den Hacker gesendet werden. Nachdem er einen maßgeschneiderten Server unter der Adresse eingerichtet hatte und die Malware auf einer virtuellen Maschine aktiviert hatte, verband sich diese mit dem Control-Server. Aber zusätzlich verbanden sich noch etwa 400 weitere Fruitfly-Opfer mit dem Server. Es wäre nun möglich gewesen, diese Macs zu überwachen, stattdessen übergab er aber die Daten an die Behörden. Auf der Black Hat Konferenz am 27. Juli will Wardle die gesamte Vorgehensweise näher vorstellen.

Wie die Malware auf einen Rechner gelangt ist unbekannt . Sie scheint schon seit Jahren im Gebrauch zu sein, wird aber erst seit kurzem von den meisten Virenscannern erkannt. Ungewöhnlich ist aber die Programmierung der Software, so basiert sie auf altem Code und basiert auf der für Malware sehr selten verwendeten Sprache Perl. Laut Fachleuten ist deshalb unwahrscheinlich, dass es sich um eine Behördensoftware handelt. Unbekannt ist auch, welchem Zweck die wohl nur in Kanada und den USA auftretende Software hat:  Sie dient etwa vor allem der Überwachung, kann aber auch Maus und Tastatur bedienen und warnt bei einer Nutzung des Rechners durch den Besitzer. Da sie zuerst auf Rechnern von Forschungseinrichtungen gefunden wurde, mutmaßte man, sie würde für Industriespionage verwendet. Laut Wardle stammen die befallenen Macs aber aus vielen unterschiedlichen Bereichen. Vielleicht bringen die Nachforschungen der Behörden aber bald Klarheit.

0 Kommentare zu diesem Artikel

Macwelt Marktplatz

2288245