Da jegliche Mac-Software, die sich außerhalb des App Stores verbreitet, keinerlei Überprüfung durchläuft, gibt es einige Sicherheitslücken und Malware, wie beispielsweise FruitFly, die jahrelang unbemerkt blieb. Angesichts dieses Problems hat Apple das Notarizing-Verfahren entwickelt. Dieses Verfahren beinhaltet, dass Entwickler ihre Software bei Apple einreichen. Die Software durchläuft eine Art automatisierten Scan, um sicherzustellen, dass sie keine Malware enthält und wird dann entweder abgelehnt oder beglaubigt, sozusagen von Apple als Malware-freie Software zertifiziert und im AppStore zur Verfügung gestellt.

Eine auf der Webseite "homebrew.sh" entdeckte Adware enthielt jedoch laut dem Sicherheitsforscher Patrick Wardle [1] schädliche Payload in Form eines Adobe-Flash-Player-Updates, die die Notarisierung von Apple erhalten hatte. Die Payload lieferte die bereits bekannte OSX.Shlayer-Schadware [2] aus.

Der Malware-Installer habe sich sowohl auf Macs mit der aktuellen Betriebssystemversion 10.15 Catalina sowie der kommenden Version macOS 11 Big Sur öffnen lassen. Nach einem Hinweis von Wardle soll Apple das gefährliche Entwicklerzertifikat entfernt haben, sodass das Betriebssystem den Installer wieder blockiert. Bereits ein paar Tage später sei die Malware-Kampagne jedoch mit neuer Signatur und zusätzlicher Notarisierung wieder aufgetaucht.

jm

[1] https://objective-see.com/blog/blog_0x4E.html
[2] https://www.f-secure.com/v-descs/trojan_osx_shlayer.shtml