Malware für den Mac ist noch immer selten, für Aufmerksamkeit sorgt aktuell aber eine Schadsoftware namens macOS Stealer oder AMOS. Erstmals tauchte die Malware im April auf Telegram auf, wo der Entwickler sie Kriminellen offen als Dienstleitung anbietet. Die von Hackern für 1.000 US-Dollar pro Monat abonnierbare Software wird aktiv genutzt und gelangt etwa per Phishing, gefälschte Webseiten mit App-Angeobten oder illegale Software auf den Mac.
So gelangt die Software auf den Mac
Die Malware muss vom Opfer selbst gestartet werden – etwa indem ein Hacker einen Download der beliebten Finanzsoftware TradingView vortäuscht. Beim Programmstart kann die Malware dann unerkannt Daten stehlen und diese an einen entfernten Server übertragen. Ziel der Malware Atomic Stealer ist es, sensible Informationen wie Schlüsselbund, Systemdaten, Dateien und Mac-Passwort schon bei der “Installation” zu stehlen.
Lesetipp: Antivirus für den Mac – 8 Programme im Test
Auch Wallets mit Kryptowährung sind offenbar das Ziel der Angreifer. Gefährlich ist die Software, wenn es einem Hacker gelingt, den Download einer regulären App glaubwürdig vorzutäuschen. Nach dem Download wird der Anwender wie gewohnt zur Installation der Software aufgefordert, Anweisungen für die Installation ermöglichen es dabei Gatekeeper zu umgehen, eine so genannte AdHoc-Signatur ermöglicht offenbar die problemlose Ausführung.
Über eine gefälschte Systemnachricht wird die Eingabe des Nutzerpassworts gefordert, nach der Eingabe werden von der Malware die vom Hacker gewünschten Daten wie Passwörter, Krypto-Wallets und Dateien gesammelt und an einen Server übertragen.
Malware per Google Ads
Wie der Hersteller von Antivirensoftware Malwarebytes jetzt berichtet, verbreiten Hacker die Software sogar über reguläre Werbeanzeigen von Google Ads, die Forscher haben einen entsprechenden Google Ads-Account (in Belarus) identifiziert. Offenbar ist einigen Kriminellen die Einrichtung oder Übernahme eines regulären Google-Kontos gelungen.
Dies ist besonders bedenklich, da Anzeigen von Google auf Anwender recht vertrauenswürdig wirken. Klickt man auf einen Link dieser Google-Anzeige, gelangt man zu einer seriös wirkenden Webseite mit der irreführenden Adresse www.trabingviews.com, die Installer für Windows, Mac und Linux bereitstellt. Bei Installation der Mac-Version erhält man die erwähnte Malware.
Fazit
Beim Download von Software von unbekannten Quellen ist große Vorsicht zu empfehlen, Malwarebytes empfiehlt bei solchen Seiten etwa auf das Erstellungsdatum einer Webseite zu achten und nur Software von seriösen Quellen zu installieren. Phishing-Seiten sind nämlich oft erste einige Tage oder Wochen alt. Wir empfehlen außerdem die Prüfung durch eine Antivirensoftware oder die Seite Virustotal.com.
Unseren ausführlichen Test aktueller Antivirensoftware finden Sie hier.
Autor: Stephan Wiesend, Autor
Stephan Wiesend schreibt seit 2001 für IDG Artikel zu den Themen Mac-OS, iOS, Software, Hardware und Praxis. Seit 2003 arbeitet er als freier Autor in München und hat bereits mehrere Bücher zum Thema Apps veröffentlicht.