2324216

OSX/MaMi unter der Lupe: Neue Mac-Malware analysiert

16.01.2018 | 16:50 Uhr |

Der Sicherheitsspezialist Patrick Wardle hat den DNS-Hijacker MaMi analysiert und erklärt Vorgehensweise und Herkunft.

Hacker wollen in der Regel Geld verdienen, auf der Mac-Plattform handelt es sich bei Malware deshalb meist um Adware. Eine ganze Reihe bekannter Malware macht dazu nichts anderes, als die DNS-Einstellungen zu ändern und kann so einen Browser auf bestimmte Werbeseiten umlenken. Eine gefährliche neue Variante eines solchen Tools hat jetzt der Sicherheitsspezialist Patrik Wardle analysiert, die er als MaMi bezeichnet.

Wird die Malware aktiv, greift sie auf die Systemkonfiguration und trägt zwei neue DNS-Adressen ein: 82.163.143.135 und 82.163.142.137. Außerdem lädt und installiert die Software ein eigenes Root-Zertifikat mit Namen cloudgard.me, das von der Firma GreenTeam Internet stammt. Diese Kombination aus Änderung der DNS-Einstellungen und Installation eine Zertifikats ist sehr gefährlich, da sie nicht nur Safari zu Werbeseiten umlenken, sondern Grundlage für so genannte Man-in-the Middle-Attacken sein kann. Neben dem Einblenden von Werbung kann ein Hacker dann per HTTPS geschützte Finanztransaktionen belauschen und per „Credential Theft“ in ein Firmennetzwerk eindringen.

Was Wardle bei der Analyse auffiel: Das Tool könnte noch mehr – Es bietet Optionen für das Aufnehmen von Screenshots, kann Skripte durchführen und Mausklicks simulieren. Eigentlich könnte es sich sogar als Startobjekt eintragen und dadurch permanent im Hintergrund aktiv bleiben. Stattdessen führt es nur diese beiden Aktionen aus und löscht sich danach selbst. Der Verbreitungsweg ist noch nicht bekannt, vermutlich gelangt es über E-Mails oder per präpariertes Werbebanner auf den Rechner eines Anwenders.

Herkunft

Verbreitet wird sie unter anderem von einer Seite namens regardens.info, das Zertifikat stammt aber von der israelischen Firma GreenTeam. Das Tool scheint außerdem mit einer bekannten Windows-Adware von 2015 verwandt zu sein, die sich ähnlich verhält. Die Malware DNSUnlocker installierte das gleiche Zertifikat und nutzt mit den Serveradressen 82.163.143.172 und 82.163.142.174 anscheinend benachbarte Server bei GreenTeam. Die Vermutung liegt nahe, dass es sich um eine neue Mac-Version von DNSUnlocker handelt.

Ist mein Rechner befallen?

Ob der eigene Rechner infiziert ist, erkennt man an zwei Einträgen in der Systemeinstellung "Netzwerk". Klickt man hier auf den Button „Weitere Optionen“, sieht man eine Liste an Reitern. Unter DNS sieht man die aktuell aktiven DNS-Server. Liest man hier die Einträge „82.163.143.135“ und „82.163.142.137“, ist man befallen. Im Dienstprogramm "Schlüsselbund" sollte man außerdem nach einem Zertifikat namens Cloudgard suchen.

Zum Zeitpunkt der Analyse wurde die auch als OSX/DNSChanger bezeichnete Software noch nicht von Virenscannern erkannt, mittlerweile können sie aber laut Virustotal immerhin 27 von 59 Scannern identifizieren.

0 Kommentare zu diesem Artikel

Macwelt Marktplatz

2324216