Meldung

Mac-Rechner im Fadenkreuz

Mac-Systeme werden von Hackern und Cyberkriminellen seit Jahrzehnten aufs Korn genommen. Der neueste Report der SophosLabs "New Bundlore Adware Targets MacOS with Updated Safari Extensions" beleuchtet einen interessanten Teil dieses wachsenden Trends. Der Report behandelt speziell eine aggressive Malware-Art für Mac-Systeme, die Sophos als "Bundleware" bezeichnet.
Bei der neusten Bundleware namens Bundlore handelt es sich um ein Software-Installationsprogramm, das gleich mehrere unerwünschte Anwendungen unter dem Deckmantel einer einzigen legitimen Anwendung installiert. Die Schadsoftware enthält laut Sophos [1] sieben unerwünschte Anwendungen, sogenannte PUAs. Allein drei dieser PUAs zielen auf den Safari-Webbrowser ab. Sie injizieren Werbung, kapern Download-Links und Suchanfragen und leiten diese um, damit die Bösewichte mit den Klicks der Benutzer Kasse machen können. Hauptangriffsziel ist MacOS Catalina.

PUAs zählen grundsätzlich zu den häufigsten Datenschutz- und Sicherheitsbedrohungen für MacOS. Da sie geeignet sind, persönliche Daten zu stehlen oder als Wegbereiter für Malvertising und andere Schadware zu dienen, werden PUAs in der Regel von Endpoint-Protection-Produkten, wie etwa auch von den Sophos Security-Lösungen, blockiert. Das gilt auch für Bundlore, denn es ist eine der gebräuchlichsten Bundleware für die MacOS-Plattform. Bundlore ist für fast sieben Prozent aller von Sophos erkannten Angriffe auf MacOS verantwortlich und damit nach Genieo die zweithäufigste Bedrohung für dieses Betriebssystem.

Was allerdings die jüngsten Bundlore-Versionen von früheren unterscheidet, ist die Art und Weise, wie sie auf den neuesten Stand gebracht wurde, um mit den Änderungen und Updates für MacOS und Safari Schritt zu halten – insbesondere mit Apples Formatänderungen in den Safari-Browser-Erweiterungen. Da Bundleware wirksam von vielen Schutzprogrammen blockiert wird, wenden Adware- und andere PUA-Entwickler möglichst wirksame Ausweichtaktiken an.

Die Entwickler von Bundlore verwenden gleich ein ganzes Set von Taktiken, um ihre Installationsprogramme zu verschleiern. Dazu gehören beispielsweise Bash-Shell-Skripte, die Installationsanwendungen entschlüsseln und in temporäre Verzeichnisse schreiben, die wiederum zusätzliche Installationsprogramme starten. Die von den SophosLabs untersuchten Beispiele wurden zum größten Teil über Apple Disk-Image-Dateien (.dmg) eingeschleust, die sich als Installer für Video- oder medienbezogene Software tarnen.
23.06.2020/dr

Tipps & Tools

Intensiv-Seminar "Aufbau einer PKI unter Windows Server" [2.08.2021]

Microsoft verwendet Zertifikate für mehrere PKI-fähige Produkte, daher bedarf es sowohl innerhalb der Organisation als auch für externe Partner einer fehlerfreien Zertifikatausstellung. Anfang September erfahren Sie in unserem Intensiv-Seminar in Hamburg, was Sie beim Aufbau einer Public-Key-Infrastruktur unter Windows Server beachten müssen. Dabei zeigen wir unter anderem, wie Sie PKI-fähige Anwendungen identifizieren und eine Testumgebung aufbauen und konfigurieren. Zögern Sie nicht zu lange – und sichern Sie sich einen der wenigen verfügbaren Plätze für das Seminar! Abonnenten nehmen wie immer zum Vorzugspreis teil. [mehr]

Sicherheitslücke in systemd begünstigt Denial-of-Service-Attacken [30.07.2021]

Das Qualys Research Team hat eine schwerwiegende Sicherheitslücke in Linux-Betriebssystemen identifiziert. Für den den systemd-Daemon betreffenden Bug weit verbreiteter OS wie RHEL 8 und Debian 10 ist ein Patch verfügbar. [mehr]

Fachartikel

SOC-Grundlagen: Weniger Fehlmeldungen durch besseren Kontext [21.07.2021]

Wer als Sicherheitsspezialist in einem Security Operations Center arbeitet, der wird tagein, tagaus mit einer schier endlosen Flut an Meldungen konfrontiert. Jedoch sind nicht alle dieser Nachrichten wirklich sicherheitsrelevant, denn bei einem Großteil handelt es sich um Fehlalarme oder unwichtige Informationen. Der Artikel erklärt, wie mehr Datenkontext dabei helfen kann, zwischen echten Signalen und sogenanntem Rauschen zu unterscheiden, um dem Problem der Alarmmüdigkeit entgegenzuwirken. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen