Apples macOS ist offenbar aktuell das Ziel eines neuen Hacker-Angriffs, der auf dem DNSChange-Trojaner basiert, der bereits im Jahr 2011 über vier Millionen Computer infizierte. Dies berichtet aktuell The Hacker News. Die Malware verändert die DNS-Serveradressen auf den befallenen Computern und leitet hierdurch den Webverkehr über die Server der Hacker, wobei verschiedene sensible Daten abgefangen werden können. Dies wird klassischerweise als "Man in the Middle Attacke" bezeichnet. Die nun gesichtete Variante dieses Trojaners fört auf den Namen OSX/MaMi. Der Ex-NSA Hacker Patrick Wardle hat sich die Arbeitsweise des Trojaners einmal genauer angesehen und herausgefunden, dass die Malware zusätzlich auch noch ein neues Root-Zertifikat installiert, um hierüber auch auf verschlüsselte Verbindungen zugreifen zu können.

Darüber hinaus kann der OSX/MaMi-Trojaner auf einem infizierten Rechner auch die folgenden Aktionen ausführen:

• Screenshots aufnehmen
• Mausaktionen simulieren
• Sich als Startobjekt positionieren
• Dateien hoch- und runterladen
• Bestimmte Befehle ausführen

Darüber hinaus sind noch einige Details zu dem neuen Angriffsszenario unbekannt. Wardle geht jedoch davon aus, dass die Hacker sich auf Standardmethoden zum Verteilen des Trojaners verlassen, also beispielsweise infizierte E-Mails und gefälschte Sicherheitswarnungen versenden. Während Apple und die gängigen Antiviren-Anbieter sicherlich schnell auf die Bedrohung reagieren werden, sollte man selbst in den Netzwerkeinstellungen auf die IP-Adressen 82.163.143.135 und 82.163.142.137 bei den DNS-Einstellungen achten. Hierbei handelt es sich um die Hacker-Server.

Anfang des Jahres machte eine Mac-Malware mit dem Namen "Fruitfly" von sich Reden, die angeblich Rechner in medizinischen Einrichtungen als Ziel hatte und hier Daten ausspioniert haben soll, ehe sie von dem Sicherheitsunternehmen Malwarebytes entdeckt wurde. Apple hat sein macOS-Betriebssystem daraufhin aktualisiert, so dass die Malware automatisch erkannt und unschädlich gemacht wird. Der Sicherheitsforscher Patrick Wardle will nun eine Variante dieser Malware ausfindig gemacht haben, die angeblich bereits seit mindestens fünf Jahren ihr Unwesen auf Macs treibt und dabei mindestens, wahrscheinlich aber mehr als 400 Systeme befallen haben soll, wie Ars Technica berichtet.

Angeblich soll die neue Malware in der Lage sein, Screenshots auf dem befallenen Mac anzufertigen, Tastatureingaben mitzuschneiten und die integrierte iSight-Kamera des Macs anzuzapfen. Zudem soll die Fruitfly-Variante auch Information über andere Geräte im selben Netzwerk wie der befallene Mac sammeln können. Laut Wardle ist die Verbreitung der Software noch nicht geklärt, wahrscheinlich sei aber der Klick auf einen infizierten Link. Inzwischen soll das Backend der Malware vom Netz gegangen sein. Genauere Informationen zu seinem Fund will Wardle auf der morgen beginnenden Black Hat Sicherheitskonferenz in Las Vegas bekanntgeben.

Da die Infektionsmethode bislang nicht bekannt und der Backend-Server vom Netz gegangen ist, gibt es wenig Methoden, sich vor der Malware zu schützen. In Anbetracht der geringen Verbreitung besteht ohnehin kein Grund zur Panik, so lange man sich an die gängigen Sicherheitstipps hält. Wardle selbst geht ebenfalls davon aus, dass inzwischen keine ernsthafte Gefahr mehr besteht. Beruhigt werden kann auch jeder, der Angst hat, über die Webcam des Macs ausspioniert zu werden. Deren Stromversorgung ist hardwareseitig mit der grünen Status-LED verbunden, so dass diese in jedem Fall anspringen würde, sollte die Kamera aktiviert werden. Wer komplett auf Nummer sicher gehen möchte, kann zudem auf kostenlose Tools wie OverSight oder Micro Snitch zurückgreifen, die sich melden, sobald die Kamera oder das Mikrofon des Macs aktiviert werden.

Die Hiobsbotschaften in Sachen Cyber-Angriffe reißen dieser Tage nicht ab. So sorgt aktuell erneut eine Angriffswelle mit einer sogenannten Ransomware für  weltweite Ausfälle von Computersystemen, wie verschiedene Meldungen und inzwischen auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer entsprechenden Warnung belegen. Betroffen sind demnach erneut auch verschiedene deutsche Unternehmen. Dabei lassen sich dem BSI zufolge Ähnlichkeiten mit dem kürzlichen "WannaCry"-Angriff erkennen, was bedeuten könnte, dass die Auswirkungen dieses Mal noch gravierender sind. WannaCry machte sich im Mai dieses Jahres an einem Freitagnachmittag unserer Zeit auf den Weg und richtete unter anderem deswegen verhältnismäßig wenig Schaden an, weil sich viele Mitarbeiter zu diesem Zeitpunkt bereits im Wochenende befanden und die Malware durch einen ziemlichen Zufall recht schnell unschädlich gemacht werden konnte.

Das BSI hat inzwischen Unternehmen und Institutionen in Deutschland dazu aufgerufen, nicht auf eventuelle Lösegeldforderungen einzugehen und entsprechende Vorfälle beim BSI zu melden. Der Behörde zufolge nutzt die zum Einsatz kommende Schadsoftware Petya dieselbe Schwachstelle unter Windows aus, die auch von WannaCry genutzt wurde. Ein Patch für diese Schwachstelle steht bereits seit Monaten zur Verfügung und verhindert in vielen Fällen eine Infektion mit der Ransomware.

Durch die steigende Beliebtheit der Apple-Plattformen sind Mac-Anwender in den vergangenen Jahren auch mehr und mehr in den Fokus von Hackern geraten. Aktuell treiben mal wieder zwei Malware-Vertreter ihr Unwesen, über die man sich als Mac-Nutzer zumindest bewusst sein sollte. Bei MacRansom handelt es sich um einen Vertreter der in letzter Zeit immer häufiger vorkommenden Ransomware, bei der die Daten der Festplatte ver- und erst nach Zahlung eines Lösegeldes (engl. ransom) wieder entschlüsselt wird. In der Regel wird von der Zahlung aber in jedem Fall abgeraten, da niemals sichergestellt ist, dass die Daten anschließend tatsächlich wieder freigegeben werden. Dies ist auch bei MacRansom der Fall, da die Daten hier mit einem Zufallsschlüssel verschlüsselt werden und sich auch vom Hacker nicht ohne Weiteres entschlüsseln lassen, wie Fortinet herausgefunden hat. Über den folgenden, im Terminal einzugebenden Befehl kann man relativ einfach überprüfen, ob das eigene Nutzerverzeichnis mit einem noch schlafenden MacRansom befallen ist:

ls -al ~/Library/UserAgent/com.apple.finder.plist ~/Library/.FS_Store

Fördert dieser Befehl die folgende Ausgabe zu Tage, sollte man umgehend den Mac ausschalten und einen Service Provider aufsuchen:

-rw-r--r-- 1 sb staff 1 13 Jun 10:34 /Users/sb/Library/.FS_Store
-rw-r--r-- 1 sb staff 1 13 Jun 10:34 /Users/sb/Library/UserAgent/com.apple.finder.plist

Ist man von dem Problem nicht betroffen, sieht die Ausgabe im Terminal folgendermaßen aus:

ls: /Users/sb/Library/.FS_Store: No such file or directory
ls: /Users/sb/Library/UserAgent/com.apple.finder.plist: No such file or directory

Offenbar von denselben Entwicklern stammt auch ein weiteres Malware-Tool namens MacSpy, welches die Spezialisten von AlienVault aufgespürt haben. Wie der Name schon vermuten lässt, zielt diese Malware vor allem auf das Mitschneiden von Nutzerdaten und ist beispielsweise in der Lage, alle 30 Sekunden einen Screenshot des befallenen Macs zu machen, Tastatureingaben zu loggen oder mit iCloud synchronisierte Fotos abzufangen.

Beide neuen Malwares werden per Mail-Anhang verteilt. Wie immer gilt hier, dass niemals ein Mailanhang geöffnet werden sollte, der von einem unbekannten Absender stammt oder der einem auf andere Weise verdächtig vorkommt!

Die meisten werden es bereits aus der regulären Presse erfahren haben. Seit gestern lief ein groß angelegter Malware-Angriff auf eigentlich so ziemlich jede größere Institution weltweit. Unter anderem waren in über 100 betroffenen Ländern knapp 100.000 Windows-Rechner betroffen, darunter auch der britischen Gesundheitsbehörde, die Deutsche Bahn, die spanische Telefonica oder der US-amerikanische Kurierdienst FedEx. Angeblich sollen die meisten betroffenen Systeme noch unter dem veralteten Windows XP gelaufen sein. Macs sind von der Attacke nicht betroffen. Die eingesetzte Malware mit dem Namen "WannaCry" soll angeblich von der NSA entwickelt worden sein und verhält sich wie eine Ransomware. Dabei werden die auf den Rechnern gespeicherten Daten verschlüsselt und von den Angreifern ein Lösegeld efordert, um sie wieder freizugeben. Im vorliegenden Fall liegt dies bei 300,- US-Dollar die in Bitcoin zu bezahlen sind. Angeblich soll eine Hackergruppe namens "Shadow Brokers" hinter dem Angriff stecken.

Inzwischen kann allerdings schon wieder (leichte) Entwarnung gegeben werden. Ein Sicherheitsforscher von MalwareTech hat einen Kill-Switch für die Malware gefunden, der dazu führte, dass aktuell auf der ganzen Welt keine Neuinfizierungen mehr registriert werden. Sollten die Angreifer ihren Code allerdings modizifieren, kann der ganze Spaß wieder von vorne losgehen. Das BKA hat die Ermittlungen übernommen.

Der außerhalb des Mac AppStore angebotene Videokonverter HandBrake gehört zur Grundausstattung auf vielen Macs. Aktuell warnen die Entwickler nun vor einem Hacker-Angriff auf die ihre offiziellen Server, wobei die Angreifer den dort angebotenen HandBrake-Download gegen eine mit Malware infizierte Version ausgetauscht haben. Diese sorgt dafür, dass auf dem Rechner eingegebene Passwörter abgefangen und an die Hacker gesendet wurden. Betroffen sind dabei alle Installationsdateien, die zwischen dem 02. und 06. Mai heruntergeladen wurden. In diesem Fall empfehlen die HandBrake-Entwickler, den Mac auf Malware zu überprüfen und die im Schlüsselbund gespeicherten Passwörter zu ändern. Ein weiteres Indiz ist ein Prozess namens "Activity_agent" in der Aktivitätsanzeige des Macs.

Möglich wurde der Angriff offenbar dadurch, dass die Hacker an persönliche Daten eines der beteiligten Entwickler gelangt sind. Derselbe Entwickler soll angeblich auch an der Programmierung des BitTorrent-Clients Transmission beteiligt gewesen sein, auf den es vor einigen Wochen einen ähnlichen Angriff gegeben hatte.

Aktuell ist eine neue Malware im Umlauf, die speziell auf Mac-Anwender zielt. Ein Team von Sicherheitsforschern hat dabei herausgefunden, dass derzeit sämtliche Versionen von macOS davon betroffen sind. Das Perfide an dem neuen Angriff mit dem Namen DOK ist, dass die Malware mit einem gültigen Entwickler-Zertifikat von Apple signiert ist und somit nocht von GateKeeper geblockt wird (via The Hacker News). Ausgangspunkt für den Angriff ist eine deutschsprachige E-Mail, die angeblich von einer Schweizer Steuerbehörde stammen soll und den Benutzer dazu auffordert, die mitgelieferte Software zu installieren. Da diese mit dem gültigen Zertifikat signiert ist, schlägt GateKeeper hierbei keinen Alarm.

Es folgt ein an Apples Aktualisierungsscreens angelehntes Fenster, welches ein Passwort abfragt und hiermit der Malware Administrator-Rechte auf dem betroffenen Mac einräumt. Hiermit fischt sie anschließend die komplette Kommunikation des Macs mit dem Internet ab und funkt den Inhalt nach Hause. Für die technisch interessierten Leser handelt es sich hiermit also quasi um einen Man-in-the-Middle Angriff, indem in den Netzwerkeinstellungen des Macs ein Proxy-Server eingetragen wird, über den anschließend sätmtliche Netzwerkverbindungen geleitet werden.

Die gängigen Mac-Virenprogramme (ich empfehle hier nach wie vor das kostenlose Sophos Home) sollten die Malware spätestens nach dem nächsten Update der Virendefinitionen erkennen und entsprechende Gegenmaßnahmen ergreifen. Und auch Apple selbst dürfte das betroffene Entwickler-Zertifikat kurzfristig sperren. Bis dahin gelten natürlich auch weiterhin die gängigen Vorsichtsmaßnahmen. So sollte niemals eine ausführbare oder eine ZIP-Datei aus einem E-Mail Anhang heraus geöffnet werden. Auch die angesprochene E-Mail enthält bereits so viele grammatikalische, Darstellungs- und Rechtschreibfehler, dass man bereits dort stutzig werden sollte.

Sogenannte "Phishing"-Angriffe zählen heute zu den beliebtesten und von Hackern am häufigsten genutzten Methoden, um an sensible Daten argloser Internetnutzer zu gelangen. Dabei werden in der Regel E-Mails verschickt, die aussehen, als ob sie von einem vertrauenswürdigen Absender stammen und einen Link enthalten, der den Nutzer auf eine präparierte Webseite führt, die dazu dient, die angesprochenen Daten wie Kreditkarteninformationen oder auch einfach nur Adressen abzugreifen. In der Regel lassen sich mit ein wenig Sorgfalt sowohl Phishing-Mails, als auch die dahinterstehenden Webseiten relativ einfach als Fake enttarnen. Die Mails sind häufig von Rechtschreib- und Grammatikfehlern durchzogen oder entsprechen nicht dem üblichen Wortlaut des (gefälschten) Absenders. Und auch die Webseite, auf die man geleitet wird, lässt sich in der Regel relativ einfach als eine Fälschung zu identifizieren. Dazu reicht meist schon ein Blick in die Adresszeile des Browsers oder in das Verschlüsselungszertifikat.

Ein aktueller Proof of Concept zeigt jedoch, dass die Möglichkeiten für Angreifer potenziell durchaus vorhanden sind, um auch ein geschultes Auge auf den Holzweg zu führen. Dabei verwendet der chinesische Sicherheitsforscher Xudong Zheng. eine manipulierte URL auf Basis von Unicode- anstelle von ASCII-Zeichen, die die meisten Browser allerdings wiederum in den ASCII-Standard umwandeln. Während sich Safari hiervon nicht austricksen lässt, fallen Chrome, Firefox und Opera auf den als "Homograph Attack" bekannten Trick herein. Ruft man beispielsweise die URL https://www.xn--80ak6aa92e.com (ein Klick auf den Link ist sicher und führt auf die Proof of Concept Webseite des Sicherheitsforschers) in einem dieser Browser auf, zeigt die Adresszeile diese Zeichenfolge als https://www.apple.com an. Sogar das Zertifikat erscheint auf den ersten Blick vertrauenswürdig, auch wenn Apple dieses mit großer Wahrscheinlichkeit nicht vom Anbieter Let's Encrypt beziehen würde.

Dieses ausgesprochen beendruckende Beispiel zeigt einmal mehr, wie wichtig es ist, darauf zu verzichten, auf Links in E-Mails zu klicken, auch wenn der Absender als vertrauenswürdig eingestuft wird. Sicherer ist stets das Eingeben der URL per Hand oder aus den eigenen Bookmarks. Zudem fordern seriöse Unternehmen niemals ihre Nutzer und Kunden dazu auf, sich über Links in E-Mails auf ihren Seiten einzuloggen.