Update 02.05.2017 : Gefahr gebannt : Die am Donnerstag letzter Woche entdeckte Malware OSX/Dok kann nun keinen Schaden mehr anrichten. Apple hat das zugehörige Entwicklerzertifikat deaktiviert und zudem seinen Malwareschutz Xportect angepasst. OSX/Dok hat sich über Phishing vor allem an deutschsprachige Nutzer gewandt, benötigte aber deren native Mithilfe, um sich auf den Mac zu installieren.
Eine weitere Variante der Malware, mit etwas anderer Vorgehensweise, hat mittlerweile Malwarebytes entdeckt . Auch diese Malware tarnt sich als Dokument-Anhang und beinhaltet ein Installationsprogramm. Eine identische Fehlermeldung beim Öffnen des Anhangs verschleiert die Installation. Die App verwendet außerdem das gleiche Entwicklerzertifikat, das Apple aber mittlerweile als ungültig zurückweist. Der Unterschied zur anderen Version: Statt ein Systemupdate vorzutäuschen, installiert das Tool die Backdoor Bella von einem Programmierer namens Noah. Dieses bei Github veröffentlichte Hintergrundprogramm verbindet sich mit einem entfernten Server und beherrscht das Auslesen von Textnachrichten, Anmeldedaten und bietet Geräteortung, Aufnahmen per Mikrofon und Webcam. Möglich ist außerdem das Anlegen von Bildschirmfoto sowie Remote-Zugriff.
Laut Malwarebytes wird die Malware mittlerweile von ihrem kostenlosen Mac-Scanner erkannt, das gilt auch für Virus Total und weitere Scanner wie Bitdefender. Entdeckt man diese Spyware auf seinem Mac, sollte man möglichst schnell alle bisher verwendeten Passwörter ändern.
Ursprüngliche Meldung vom 28.04.2017:
Malware ist auf dem Mac noch sehr selten, oft geht diese aber sehr trickreich vor, um die Sicherheitsfunktionen des Systems zu umgehen. Das gibt auch für die von Check Point erstmals aufgespürte Malware OSX/Dok bzw. Trojan.OSX.DOK, die sich anscheinend vor allem an deutschsprachige Mac-Anwender richtet. Sie gelangt als Dateianhang einer E-Mail auf den Mac, muss also den Nutzer zur Installation verleiten. Im bekannten Fall handelte es sich übrigens um eine angebliche E-Mail der Eidgenössischen Steuerverwaltung. Öffnet man den angefügten Dateianhang, eine Datei namens „Dokument.zip“, kopiert sich die Datei in den Ordner /Users/Shared und führt einige Shell-Befehle aus. Um keinen Verdacht zu erregen, wird dabei ein Fenster eingeblendet, die Dokument-Datei könne nicht geöffnet werden. Im Hintergrund trägt sich die Malware aber nun als Anmeldeobjekt ein und wird ab sofort bei jedem Systemstart geladen. In der Systemeinstellung „Benutzer & Gruppen“ erscheint sie als „AppStore“ unter den Anmeldeobjekten, sollte deshalb wohl von den meisten Anwendern für ein harmloses Hintergrundprogramm gehalten werden.
Das sind aber nur Vorbereitungen: Das Programm öffnet danach ein großes Nachrichtenfenster über allen offenen Fenstern, wahlweise in Deutsch oder Englisch: Es wären OS X Updates verfügbar, die man sofort installieren müsse. Andere Fenster sind nicht mehr verfügbar, bei einem Neustart wird das Fenster erneut angezeigt. Klickt man auf „Update“ muss man sein Kennwort angeben, was die eigentliche Malware-Installation ermöglicht. Ungewöhnlich: Dank Entwicklerzertifikat wird die Installation nicht von Apples Schutzsystem Gatekeeper verhindert – außer man hat nur die Installation von Apps aus dem App Store erlaubt.
Das Programm installiert natürlich keine Updates, sondern eine Kommandozeilenversion der Netzprogramme Tor und Socat. Zusätzlich richtet es einen Proxy-Server ein, der alle Internetverbindungen über den Server des Angreifers umleitet. Ein neues Root Zertifikat sorgt außerdem dafür, dass der Angreifer dem Nutzer beliebige Webseiten vortäuschen kann. Alle Datenverbindungen können dann vom Hacker abgefangen und gelesen werden. Identifizieren kann man die Malware anscheinend auch durch zwei LaunchAgents, die das Tool im Ordner LaunchAgents des Benutzers anlegt: com.apple.Safari.proxy.plist und com.apple.Safari.pac.plist. Die Malware löscht nun noch sich, bzw. ihren Installer.
Laut den Entdecker wurde die Malware bei Redaktionsschluss noch von keinem Virenscanner entdeckt, was sich aber schnell ändern wird. Das Tool sollte aber bereits durch die seltsame Update-Meldung den meisten Anwendern auffallen, ebenso durch den Eintrag in den Startobjekten.
Autor: Stephan Wiesend, Autor
Stephan Wiesend schreibt seit 2001 für IDG Artikel zu den Themen Mac-OS, iOS, Software, Hardware und Praxis. Seit 2003 arbeitet er als freier Autor in München und hat bereits mehrere Bücher zum Thema Apps veröffentlicht.