Malware mit Apple-Entwicklerzertifikat spioniert HTTPS-Traffic aus
Eine neue macOS-Malware namens DOK macht derzeit die Runde und gibt vor, ein System-Update zu sein.
Die IT-Sicherheitsfirma Checkpoint hat eine bisher unbekannte auf den Mac abzielende Malware entdeckt, bei deren Installation das Betriebssystem keine Warnung ausgibt. Die Malware mit Namen DOK verfügt über ein von Apple ausgestelltes Entwicklerzertifikat und spioniert den verschlüsselten Datenverkehr des Rechners aus. Allerdings muss das Opfer nach Ausführung von DOK ein Administratorpasswort eingeben. Anschließend installiert der Schädling ein neues Root-Zertifikat im System, welches das Abhören von HTTPS-Verbindungen erlaubt.
Unregelmäßigkeiten beim Steuerbescheid
Der Vertrieb von DOK läuft laut Angaben von Checkpoint momentan über eine Phishing-Kampagne. In den englischen E-Mails heißt es, es sei zu Unregelmäßigkeiten beim Steuerbescheid des Empfängers gekommen. Dieser solle eine Datei herunterladen, um das Problem zu beheben.
Die heruntergeladene Zip-Datei lässt sich auf dem Mac ohne Warnung ausführen, weil sie über besagtes Apple-Entwicklerzertifikat verfügt – der macOS-Systemschutz Gatekeeper greift deswegen nicht. Die Malware installiert sich im Verzeichnis „/Users/Shared/“ und soll auch nach Neustarts als Autostart-Eintrag erhalten bleiben.
Administratorpasswort notwendig
Nach Ausführung von DOK erscheint ein Fenster, das dem Nutzer „OS X Updates“ verspricht. „Ein Sicherheitsproblem“ sei identifiziert worden. Anschließend wird dieser aufgefordert, sein Administratorpasswort einzugeben. Ein Zugriff auf andere Programme soll währenddessen nicht möglich sein.
Das Hauptfenster der Malware ist mit dem Icon von Apples App Store versehen und sieht echt genug aus, um Anwender auf den ersten Blick zu täuschen. DOK legt laut Checkpoint einen Proxy an, um den Datenverkehr über einen Man-in-the-middle-Angriff auszuleiten. Apple ist laut Checkpoint über den Angriff informiert, hat den Systemschutz XProtect aber bisher nicht aktualisiert. Das Zertifikat sollte Apple ebenfalls zurückziehen, so Checkpoint. Die Malware soll insbesondere in Europa die Runde machen.
Quelle: heise.de
Suche
- Brexit: IT-Branche bedauert Austritt der Briten aus der EU Freitag, 24. Juni 2016
- Google veröffentlicht Riesen-Patch-Paket für Android Freitag, 20. Januar 2017
- AVM entweicht geheimer FritzBox-Schlüssel Sonntag, 13. November 2016
- Erpressungs-Trojaner: Neue Locky-Welle infiziert Computer Freitag, 24. Juni 2016
- Upgrade auf Windows 10: Drückermethode wird noch aggressiver Dienstag, 31. Mai 2016
- Jetzt patchen! Exploit-Code für RDP-Lücke BlueKeep in Windows gesichtet Donnerstag, 23. Mai 2019
- Dynamit-Phishing: Emotet perfektioniert seine Angriffe weiter Montag, 15. April 2019
- Amazon-Mitarbeiter tippen zum Teil Alexa-Sprachbefehle ab Donnerstag, 11. April 2019
- Nach Microsoft-Patchday: KB4493472, KB4493446 und weitere Updates legen Windows lahm Donnerstag, 11. April 2019
- Störung in Microsofts Cloud führt zu Datenbankverlusten bei Azure Donnerstag, 31. Januar 2019
- Fahed Fatnassi: Das Gerät vereint einen leistungsst... Samstag, 29. April 2017
- Ralf Küpper: geiles Bild aber die Speaker sind s... Samstag, 29. April 2017
- Detlef: Professionelle Beratung. Man nahm s... Samstag, 29. April 2017
- netzwerkstudio: Top Preis/Leistungsverhältnis!... Samstag, 29. April 2017
- netzwerkstudio: Hochwertig verarbeitet, modular und... Samstag, 29. April 2017
