Meldung

Mac-Rechner im Fadenkreuz

Mac-Systeme werden von Hackern und Cyberkriminellen seit Jahrzehnten aufs Korn genommen. Der neueste Report der SophosLabs "New Bundlore Adware Targets MacOS with Updated Safari Extensions" beleuchtet einen interessanten Teil dieses wachsenden Trends. Der Report behandelt speziell eine aggressive Malware-Art für Mac-Systeme, die Sophos als "Bundleware" bezeichnet.
Bei der neusten Bundleware namens Bundlore handelt es sich um ein Software-Installationsprogramm, das gleich mehrere unerwünschte Anwendungen unter dem Deckmantel einer einzigen legitimen Anwendung installiert. Die Schadsoftware enthält laut Sophos [1] sieben unerwünschte Anwendungen, sogenannte PUAs. Allein drei dieser PUAs zielen auf den Safari-Webbrowser ab. Sie injizieren Werbung, kapern Download-Links und Suchanfragen und leiten diese um, damit die Bösewichte mit den Klicks der Benutzer Kasse machen können. Hauptangriffsziel ist MacOS Catalina.

PUAs zählen grundsätzlich zu den häufigsten Datenschutz- und Sicherheitsbedrohungen für MacOS. Da sie geeignet sind, persönliche Daten zu stehlen oder als Wegbereiter für Malvertising und andere Schadware zu dienen, werden PUAs in der Regel von Endpoint-Protection-Produkten, wie etwa auch von den Sophos Security-Lösungen, blockiert. Das gilt auch für Bundlore, denn es ist eine der gebräuchlichsten Bundleware für die MacOS-Plattform. Bundlore ist für fast sieben Prozent aller von Sophos erkannten Angriffe auf MacOS verantwortlich und damit nach Genieo die zweithäufigste Bedrohung für dieses Betriebssystem.

Was allerdings die jüngsten Bundlore-Versionen von früheren unterscheidet, ist die Art und Weise, wie sie auf den neuesten Stand gebracht wurde, um mit den Änderungen und Updates für MacOS und Safari Schritt zu halten – insbesondere mit Apples Formatänderungen in den Safari-Browser-Erweiterungen. Da Bundleware wirksam von vielen Schutzprogrammen blockiert wird, wenden Adware- und andere PUA-Entwickler möglichst wirksame Ausweichtaktiken an.

Die Entwickler von Bundlore verwenden gleich ein ganzes Set von Taktiken, um ihre Installationsprogramme zu verschleiern. Dazu gehören beispielsweise Bash-Shell-Skripte, die Installationsanwendungen entschlüsseln und in temporäre Verzeichnisse schreiben, die wiederum zusätzliche Installationsprogramme starten. Die von den SophosLabs untersuchten Beispiele wurden zum größten Teil über Apple Disk-Image-Dateien (.dmg) eingeschleust, die sich als Installer für Video- oder medienbezogene Software tarnen.
23.06.2020/dr

Tipps & Tools

Sicherheitslücke in Remote-Desktop-Gateway [7.07.2020]

Sicherheitsforscher von Check Point haben eine riskante Schwachstelle in der Open-Source-Software Apache Guacamole aufgedeckt. Ein Cyberkrimineller könne das Gateway ausnutzen, um ein Firmennetzwerk zu infiltrieren und sogar komplett zu übernehmen. Viele Organisationen verwenden Apache Guacamole, da Mitarbeiter lediglich den Webbrowser benötigen, um sich einzuwählen. [mehr]

Cyberkriminalität durch falsch gesetzte Zugriffsrechte [25.06.2020]

Nicht Wirtschaftsspione, Hacker oder gar Virenprogrammierer – die eigenen Mitarbeiter stellen in einigen Bereichen das größte Sicherheitsrisiko für Unternehmen dar. Einen wirksamen Schutz vor Betrug, Diebstahl und Korruption in den eigenen vier Wänden sehen Experten in der kontrollierten Vergabe von Zugriffsrechten. [mehr]

Fachartikel

Cyberkriminalität durch falsch gesetzte Zugriffsrechte [24.06.2020]

Nicht Wirtschaftsspione, Hacker oder gar Virenprogrammierer – die eigenen Mitarbeiter stellen in einigen Bereichen das größte Sicherheitsrisiko für Unternehmen dar. Einen wirksamen Schutz vor Betrug, Diebstahl und Korruption in den eigenen vier Wänden sehen Experten in der kontrollierten Vergabe von Zugriffsrechten. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen