2640569

Microsoft warnt vor der Mac-Malware UpdateAgent

04.02.2022 | 15:40 Uhr | Stephan Wiesend

Das Threat Intelligence Team von Microsoft warnt vor einem besonders gefährlichen Mac-Trojaner mit raffinierten Fähigkeiten.

Die Malware auf der Mac-Plattform ist zwar zahlreicher geworden, oft handelt es sich aber um Varianten einer bestimmten Software. Wie das Microsoft 365 Defender Threat Intelligence Team von Microsoft jetzt berichtet , entwickeln sich diese aber auch in ihren Fähigkeiten oft immer weiter. Bei dem Trojaner UpdateAgent ließ sich sogar eine laufende Entwicklung über ein ganzes Jahr nachvollziehen.

Adware-Installation als Ziel

Die Schadsoftware tarnt sich als harmlose Software, die vom Nutzer selbst auf dem Mac installiert wird – etwa über Werbe-Pop-Ups. In den aktuellen Versionen ist die Installation einer Adware, dem Tool Adload das Ziel. Bei Adload handelt es sich um eine Hintergrundsoftware, die gezielt Werbung aufruft und so Umsätze generiert. Die Malware könnte aber von Hackern auch für andere Zwecke, etwa die Installation von Überwachungssoftware, genutzt werden. Offensichtlich war die Software anfangs noch in Entwicklung, ist aber jetzt wohl aktiv im Einsatz.

Immer raffinierter

Wie die Forscher berichten, war die Ende 2020 kursierende Version noch recht harmlos und stahl nur Informationen über den befallenen Mac. Diese Daten wurden dann an einen entfernten Server übermittelt, über den die Software gesteuert wird. Im Januar oder Februar 2021 erhielt die Malware dann ein Update und bekam Funktionen, um nach der Installation Nutzdaten aus dem Web zu laden – in Form von DMG-Dateien für eine sogenannte Payload. Beim dritten Update im März 2021 kam unter anderem eine Funktion hinzu, mit der Gatekeeper bei Installationen umgangen wird. Das Tool konnte eine sogenannte Plist-Datei im Ordner „LaunchAgents“ anlegen. Zusätzlich wurde die Sicherheitsfunktion Gatekeeper überlistet, indem bei einer heruntergeladenen Datei das sogenannte Quarantäne-Attribut entfernt wird – alles notwendig, um eine eigentliche Malware zu installieren, etwa eine Adware wie Adload.

Das Tool wurde aber noch weiter verbessert, so erhielt es August 2021 eine Funktion, um den Mac auf zusätzliche System- und Hardwareinformationen zu überprüfen und wechselte vom Ordner „LaunchAgents“ zum besser geeigneten Ordner „LaunchDaemons“. Dadurch wurde es möglich, Code sogar als Root auszuführen. Bei der letzten bekannten Aktualisierung gab es weitere neue Fähigkeiten, etwa für das Prüfen der Datenbank für Quarantäne-Ereignisse und die Änderung der sudoers-Liste – letzteres, um Bestätigungen des Nutzers unnötig zu machen. Die von den Sicherheitsforschern entdeckten Kontroll-Server bei Cloudfront und Amazon S3 wurden zwar stillgelegt, die Software ist aber wohl weiterhin im Gebrauch und in der Weiterentwicklung.

Die Software hat sich kontinuierlich weiterentwickelt.
Vergrößern Die Software hat sich kontinuierlich weiterentwickelt.
© Microsoft

So kann man sich schützen

Die Sicherheitsforscher empfehlen (neben der Nutzung von Antivirensoftware wie Microsoft Defender Endpoint von Microsoft) Software möglichst nur aus sicheren Quellen zu installieren, etwa nur über den Mac App Store. Nutzer sollten bei der Installation von Software aus unbekannten Quellen immer große Vorsicht walten lassen. Das System sollte außerdem immer auf dem aktuellen Stand gehalten werden. Firmen können bei zentral verwalteten Rechner zudem darauf achten, dass Ordner wie „LaunchDaemons“ und „LaunchAgents“ besonders geschützt sind. (Hinweis der Redaktion: Diese Ordner können auch durch eine simple Ordneraktion geschützt werden.) Ob der eigenen Rechner befallen ist, kann mit einer der gängigen Antivirenlösungen überprüfen, unseren aktuellen Vergleichstest finden Sie hier .

Macwelt Marktplatz

2640569