2341617

OSX_OCEANLOTUS.D: Neue Mac-Malware spioniert NGOs aus

06.04.2018 | 13:30 Uhr | Stephan Wiesend

Die Backdoor soll von der Gruppe Ocean Lotus stammen und installiert sich über ein Word-Makro.

Vor allem Menschenrechtsorganisationen in Asien sind es, die laut den Forschern von Trend Micro von einer neuen Malware attackiert werden. Ungewöhnlich: Die Spyware scheint sich gezielt gegen Mac-Anwender zu richten und nutzt dabei eine uralte Methode: Die so genannte Backdoor namens OSX_OCEANLOTUS.D gelangt über ein Word-Dokument auf den Rechner des Opfers. Eine ähnliche Angriffsmethode auf die Macs wurde vor einem Jahr ebenfalls bekannt. Das Dokument täuschte in dem beschriebenen Fall vor, ein Anmeldeformular der vietnamesischen Demokratie-Bewegung HDMD zu sein und bittet beim Öffnen, das Ausführen von Makros zu erlauben. Beim daraufhin startenden Makro handelt es sich in Wirklichkeit um ein verschlüsseltes Perl-Programm, das eine Backdoor installiert. Diese Überwachungssoftware sammelt im Hintergrund Systeminformationen, kommuniziert verschlüsselt mit einem entfernten Server und kann weitere Malware installieren, Terminal-Befehle ausführen und Daten hochladen. Laut Trend Micro soll die Backdoor von der Gruppe OceanLotus stammen, die auch als SeaLotus oder Cobalt Kitty bekannt ist. Diese offenbar aus Asien stammende Gruppe ist für Angriffe auf Menschenrechtsorganisationen, Medien, Forschungseinrichtungen und Unternehmen bekannt. Ziele sind vor allem vietnamesische Organisationen, aber auch Nutzer in den Philippinen, Laos und Kambodscha.

Die Malware kann unter anderem über eine Konfigurationsdatei in den Ordnern /Library/LaunchDaemons oder /Libray/LaunchAgents identifiziert werden, auch aktuelle Virenscanner können die Spyware erkennen. Lesen Sie hierzu unseren Ratgeber " Sicherer als Antiviren-Tools? Wie man sich vor Malware mit Finder schützt ". Grundsätzlich sollte aber kein Anwender bei Dateien unbekannter Herkunft das Ausführen von Makros erlauben. Office-Dokumente kann man außerdem auch gut über die Vorschaufunktion des Systems öffnen.

Macwelt Marktplatz

0 Kommentare zu diesem Artikel
2341617