2313380

Malware OSX.Proton verbreitet sich über gefälschten Symantec-Blog

22.11.2017 | 11:02 Uhr |

Die auf Passwort-Klau spezialisierte Malware OSX.Proton dreht die nächste Runde - und tarnt sich recht geschickt.

Der OSX.Proton genannte Trojaner für macOS verbreitet sich nun wieder auf einem neuen Weg. Wie der Twitteraccount @noarfromspace warnt , versteckt sich die Malware in einem gefälschten Blog, der dem des Herstellers für Sicherheitssoftware Symantec täuschend ähnlich sieht. Unter symantecblog.com sind alle Inhalte des echten Unternehmensblogs gespiegelt, erkennbar ist die Fälschung aber an einer verdächtigen E-Mail-Adresse in der Domain-Registrierung und einem von Dritten eingereichten SSL-Sicherheitszertifikat.

Die Malware schmuggeln die Hacker konkret über eine Fake-News ein, in der sie berichten, die Malware von 2014 namens CoinThief würde eine neue Runde durch das Netz drehen. Aufspüren und unschädlich machen könne man sie mit dem Symantec Malware Detector, der in Wirklichkeit aber OSX.Proton enthält und die Schadsoftware mit Unterstützung des Anwenders auf den Mac installiert. Den Link auf die Malware verbreiten nun mehrere Twitter-Konten, gefälschte wie echte, die womöglich über eine frühere Proton-Attacke kompromittiert wurden – OSX.Proton hat es vorwiegend auf Passworte aller Art abgesehen.

Ende Oktober war der Schädling erstmals aufgetreten, nach einem Angriff auf den FTP-Server des Softwareherstellers Eltima hatte sich OSX.Proton in die Programme Elmedia Player und Folx eingeschlichen – diese hat Eltima aber längst wieder in sauberen Fassungen veröffentlicht und seine Infrastruktur mit Apples Hilfe gegen Angriffe abgesichert. Schaden konnte OSX.Proton seinerzeit deshalb, weil er das legitime Entwicklerzertifikat von Eltima nutzte und daher auch trotz eingeschaltetem Gatekeeper auf den Mac installierte. Auch die neue Fassung nutzt ein gültiges Zertifikat mit dem Identifier E224M7K47W, das auf einen Entwickler namens Sverre Huseby läuft. Nach dem ersten Aufruf der App und einem Klick auf die unter einem Symantec-Logo angezeigte Schaltfläche "Check" verlangt der Installer nach einem Admin-Passwort. Ist dieses eingegeben, nimmt das Schicksal seinen Lauf.

0 Kommentare zu diesem Artikel

Macwelt Marktplatz

2313380