Die sicherste Methode, Software für den Mac zu erwerben, ist nach wie vor über den Mac AppStore. Die verschiedenen Beschränkungen, die Apple den Entwicklern dort jedoch auferlegt, führten in der Vergangenheit immer mehr dazu, dass sich diese teilweise aus dem virtuellen Kaufhaus zurückzogen und ihre Software wieder über eigene Kanäle vertreiben. Dabei ist jedoch stets Vorsicht geboten, denn es tauchen aus dubiosen Quellen auch immer wieder manipulierte Versionen von eigentlich vertrauenswürdigen Apps auf. So auch bei einem aktuellen Fall, bei dem eine Malware-verseuchte Version der beliebten Mac-Firewall "Little Snitch" in einem russischen Forum aufgetaucht ist, wie Malwarebytes berichtet.

Die App enthält eine "EvilQuest"-Ransomware, die die Einstellungen und Dateien auf dem Mac verschlüsselt und für ihre Entschlüsselung ein Lösegeld fordert. Dieses ist zwar mit 50,- US-Dollar relativ gering, dennoch sollte niemand den Betrag bezahlen, da eine Entschlüsselung trotz der Zahlung nicht vorgenommen wird. Stattdessen sollte man den Mac auf ein TimeMachine-Backup zurücksetzen, welches man vor der Installtion der infizierten App angefertigt hatte.

Um gar nicht erst Gefahr zu laufen, in derartige Fallen zu tappen, sollte man stets darauf achten, Software ausschließlich von offiziellen Seiten zu erwerben und zu laden - oder eben doch weiterhin auf den Mac AppStore als Quelle zu setzen.

Die Sicherheitsforscher aus Googles Project Zero haben in einem Blogpost auf eine offenbar schon seit längerer Zeit bestehende Sicherheitslücke hingewiesen, über die sich Angreifer mithilfe einer manipulierten Webseite Zugriff auf ein beliebiges iPhone verschaffen können. Ist dies gelungen, konnte ein Code auf das angegriffene Gerät eingeschleust werden, über den verschiedene persönliche Daten wie Kurznachrichten, Fotos oder GPS-Daten in Echtzeit abgegriffen werden konnten. Die Sicherheitsforscher vermuten, dass tausende von Besuchern pro Woche im Zeitraum von ca. zwei Jahren auf entsprechend manipulierte Webseiten zugegriffen haben. Betroffen waren offenbar Betriebssystemversionen von iOS 10 bis zu den ersten Versionen von iOS 12.

Das Project Zero Team setzte Apple von dem Problem im Februar dieses Jahres in Kenntnis, woraufhin das Unternehmen die Lücke noch im selben Monat mit der Veröffentlichung von iOS 12.1.4 schloss. Allgemein wiesen die Sicherheitsforscher darauf hin, dass das Risiko eines solchen Angriffs nie ganz ausgeschlossen werden kann und Apple in diesem Fall sehr schnell reagiert habe. Ein Neustart eines betroffenen Geräts hat den eingeschleusten schadhaften Code übrigens deaktiviert. Generell sollte man sein iPhone also durchaus hin und wieder mal neustarten. Alle Informationen zu dem genutzten Angriffsvektor können auf Googles Project Zero Blog eingesehen werden.

Apples taiwanesischer Chip-Fertiger TSMC wurde am Wochenende Opfer eines Computervirus, der gleich mehrere Fertigungsstätten in Tainan, Hsinchu und Taichung heimsuchte und dazu führte, dass die Produktion an diesen Standorten heruntergefahren oder teilweise eingestellt werden musste, wie Bloomberg berichtet. Inzwischen sind laut Aussage des Unternehmens 80% der betroffenen Systeme wieder in Betrieb, dennoch warnt man seine Kunden derzeit vor möglichen Verzögerungen bei den hergestellten Chips. Ob auch Apple hiervon betroffen ist, kann aktuell nicht abschließend bestätigt werden, Sorgen um Verzögerungen beim iPhone würde ich mir allerdings derzeit nicht machen. Der Ausfall betrug lediglich einige Stunden, was keine größere Delle in der im Juni angelaufenen Chip-Produktion für das iPhone hinterlassen haben dürfte.

Bei der entdeckten Malware handelt es sich laut einem von TSMC ausgegebenen Statement um eine Variante der WannaCry-Ransomware aus dem vergangenen Jahr, die durch die Installation eines Tools von einem unbestimmten Anbieter eingeschleppt wurde. Es handelt sich also nicht um einen klassischen Hacker-Angriff, als vielmehr um eine Unachtsamkeit bei TSMC - mit durchaus teuren Konsequenzen. Der Konzern warnt seine Anleder im Zusammenhang mit dem Problem vor einem möglicherweise gerunger ausfallenden Umsatz.

Apples macOS ist offenbar aktuell das Ziel eines neuen Hacker-Angriffs, der auf dem DNSChange-Trojaner basiert, der bereits im Jahr 2011 über vier Millionen Computer infizierte. Dies berichtet aktuell The Hacker News. Die Malware verändert die DNS-Serveradressen auf den befallenen Computern und leitet hierdurch den Webverkehr über die Server der Hacker, wobei verschiedene sensible Daten abgefangen werden können. Dies wird klassischerweise als "Man in the Middle Attacke" bezeichnet. Die nun gesichtete Variante dieses Trojaners fört auf den Namen OSX/MaMi. Der Ex-NSA Hacker Patrick Wardle hat sich die Arbeitsweise des Trojaners einmal genauer angesehen und herausgefunden, dass die Malware zusätzlich auch noch ein neues Root-Zertifikat installiert, um hierüber auch auf verschlüsselte Verbindungen zugreifen zu können.

Darüber hinaus kann der OSX/MaMi-Trojaner auf einem infizierten Rechner auch die folgenden Aktionen ausführen:

• Screenshots aufnehmen
• Mausaktionen simulieren
• Sich als Startobjekt positionieren
• Dateien hoch- und runterladen
• Bestimmte Befehle ausführen

Darüber hinaus sind noch einige Details zu dem neuen Angriffsszenario unbekannt. Wardle geht jedoch davon aus, dass die Hacker sich auf Standardmethoden zum Verteilen des Trojaners verlassen, also beispielsweise infizierte E-Mails und gefälschte Sicherheitswarnungen versenden. Während Apple und die gängigen Antiviren-Anbieter sicherlich schnell auf die Bedrohung reagieren werden, sollte man selbst in den Netzwerkeinstellungen auf die IP-Adressen 82.163.143.135 und 82.163.142.137 bei den DNS-Einstellungen achten. Hierbei handelt es sich um die Hacker-Server.

Anfang des Jahres machte eine Mac-Malware mit dem Namen "Fruitfly" von sich Reden, die angeblich Rechner in medizinischen Einrichtungen als Ziel hatte und hier Daten ausspioniert haben soll, ehe sie von dem Sicherheitsunternehmen Malwarebytes entdeckt wurde. Apple hat sein macOS-Betriebssystem daraufhin aktualisiert, so dass die Malware automatisch erkannt und unschädlich gemacht wird. Der Sicherheitsforscher Patrick Wardle will nun eine Variante dieser Malware ausfindig gemacht haben, die angeblich bereits seit mindestens fünf Jahren ihr Unwesen auf Macs treibt und dabei mindestens, wahrscheinlich aber mehr als 400 Systeme befallen haben soll, wie Ars Technica berichtet.

Angeblich soll die neue Malware in der Lage sein, Screenshots auf dem befallenen Mac anzufertigen, Tastatureingaben mitzuschneiten und die integrierte iSight-Kamera des Macs anzuzapfen. Zudem soll die Fruitfly-Variante auch Information über andere Geräte im selben Netzwerk wie der befallene Mac sammeln können. Laut Wardle ist die Verbreitung der Software noch nicht geklärt, wahrscheinlich sei aber der Klick auf einen infizierten Link. Inzwischen soll das Backend der Malware vom Netz gegangen sein. Genauere Informationen zu seinem Fund will Wardle auf der morgen beginnenden Black Hat Sicherheitskonferenz in Las Vegas bekanntgeben.

Da die Infektionsmethode bislang nicht bekannt und der Backend-Server vom Netz gegangen ist, gibt es wenig Methoden, sich vor der Malware zu schützen. In Anbetracht der geringen Verbreitung besteht ohnehin kein Grund zur Panik, so lange man sich an die gängigen Sicherheitstipps hält. Wardle selbst geht ebenfalls davon aus, dass inzwischen keine ernsthafte Gefahr mehr besteht. Beruhigt werden kann auch jeder, der Angst hat, über die Webcam des Macs ausspioniert zu werden. Deren Stromversorgung ist hardwareseitig mit der grünen Status-LED verbunden, so dass diese in jedem Fall anspringen würde, sollte die Kamera aktiviert werden. Wer komplett auf Nummer sicher gehen möchte, kann zudem auf kostenlose Tools wie OverSight oder Micro Snitch zurückgreifen, die sich melden, sobald die Kamera oder das Mikrofon des Macs aktiviert werden.

Die Hiobsbotschaften in Sachen Cyber-Angriffe reißen dieser Tage nicht ab. So sorgt aktuell erneut eine Angriffswelle mit einer sogenannten Ransomware für  weltweite Ausfälle von Computersystemen, wie verschiedene Meldungen und inzwischen auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer entsprechenden Warnung belegen. Betroffen sind demnach erneut auch verschiedene deutsche Unternehmen. Dabei lassen sich dem BSI zufolge Ähnlichkeiten mit dem kürzlichen "WannaCry"-Angriff erkennen, was bedeuten könnte, dass die Auswirkungen dieses Mal noch gravierender sind. WannaCry machte sich im Mai dieses Jahres an einem Freitagnachmittag unserer Zeit auf den Weg und richtete unter anderem deswegen verhältnismäßig wenig Schaden an, weil sich viele Mitarbeiter zu diesem Zeitpunkt bereits im Wochenende befanden und die Malware durch einen ziemlichen Zufall recht schnell unschädlich gemacht werden konnte.

Das BSI hat inzwischen Unternehmen und Institutionen in Deutschland dazu aufgerufen, nicht auf eventuelle Lösegeldforderungen einzugehen und entsprechende Vorfälle beim BSI zu melden. Der Behörde zufolge nutzt die zum Einsatz kommende Schadsoftware Petya dieselbe Schwachstelle unter Windows aus, die auch von WannaCry genutzt wurde. Ein Patch für diese Schwachstelle steht bereits seit Monaten zur Verfügung und verhindert in vielen Fällen eine Infektion mit der Ransomware.

Durch die steigende Beliebtheit der Apple-Plattformen sind Mac-Anwender in den vergangenen Jahren auch mehr und mehr in den Fokus von Hackern geraten. Aktuell treiben mal wieder zwei Malware-Vertreter ihr Unwesen, über die man sich als Mac-Nutzer zumindest bewusst sein sollte. Bei MacRansom handelt es sich um einen Vertreter der in letzter Zeit immer häufiger vorkommenden Ransomware, bei der die Daten der Festplatte ver- und erst nach Zahlung eines Lösegeldes (engl. ransom) wieder entschlüsselt wird. In der Regel wird von der Zahlung aber in jedem Fall abgeraten, da niemals sichergestellt ist, dass die Daten anschließend tatsächlich wieder freigegeben werden. Dies ist auch bei MacRansom der Fall, da die Daten hier mit einem Zufallsschlüssel verschlüsselt werden und sich auch vom Hacker nicht ohne Weiteres entschlüsseln lassen, wie Fortinet herausgefunden hat. Über den folgenden, im Terminal einzugebenden Befehl kann man relativ einfach überprüfen, ob das eigene Nutzerverzeichnis mit einem noch schlafenden MacRansom befallen ist:

ls -al ~/Library/UserAgent/com.apple.finder.plist ~/Library/.FS_Store

Fördert dieser Befehl die folgende Ausgabe zu Tage, sollte man umgehend den Mac ausschalten und einen Service Provider aufsuchen:

-rw-r--r-- 1 sb staff 1 13 Jun 10:34 /Users/sb/Library/.FS_Store
-rw-r--r-- 1 sb staff 1 13 Jun 10:34 /Users/sb/Library/UserAgent/com.apple.finder.plist

Ist man von dem Problem nicht betroffen, sieht die Ausgabe im Terminal folgendermaßen aus:

ls: /Users/sb/Library/.FS_Store: No such file or directory
ls: /Users/sb/Library/UserAgent/com.apple.finder.plist: No such file or directory

Offenbar von denselben Entwicklern stammt auch ein weiteres Malware-Tool namens MacSpy, welches die Spezialisten von AlienVault aufgespürt haben. Wie der Name schon vermuten lässt, zielt diese Malware vor allem auf das Mitschneiden von Nutzerdaten und ist beispielsweise in der Lage, alle 30 Sekunden einen Screenshot des befallenen Macs zu machen, Tastatureingaben zu loggen oder mit iCloud synchronisierte Fotos abzufangen.

Beide neuen Malwares werden per Mail-Anhang verteilt. Wie immer gilt hier, dass niemals ein Mailanhang geöffnet werden sollte, der von einem unbekannten Absender stammt oder der einem auf andere Weise verdächtig vorkommt!

Die meisten werden es bereits aus der regulären Presse erfahren haben. Seit gestern lief ein groß angelegter Malware-Angriff auf eigentlich so ziemlich jede größere Institution weltweit. Unter anderem waren in über 100 betroffenen Ländern knapp 100.000 Windows-Rechner betroffen, darunter auch der britischen Gesundheitsbehörde, die Deutsche Bahn, die spanische Telefonica oder der US-amerikanische Kurierdienst FedEx. Angeblich sollen die meisten betroffenen Systeme noch unter dem veralteten Windows XP gelaufen sein. Macs sind von der Attacke nicht betroffen. Die eingesetzte Malware mit dem Namen "WannaCry" soll angeblich von der NSA entwickelt worden sein und verhält sich wie eine Ransomware. Dabei werden die auf den Rechnern gespeicherten Daten verschlüsselt und von den Angreifern ein Lösegeld efordert, um sie wieder freizugeben. Im vorliegenden Fall liegt dies bei 300,- US-Dollar die in Bitcoin zu bezahlen sind. Angeblich soll eine Hackergruppe namens "Shadow Brokers" hinter dem Angriff stecken.

Inzwischen kann allerdings schon wieder (leichte) Entwarnung gegeben werden. Ein Sicherheitsforscher von MalwareTech hat einen Kill-Switch für die Malware gefunden, der dazu führte, dass aktuell auf der ganzen Welt keine Neuinfizierungen mehr registriert werden. Sollten die Angreifer ihren Code allerdings modizifieren, kann der ganze Spaß wieder von vorne losgehen. Das BKA hat die Ermittlungen übernommen.