Die Malware gibt sich zugleich als „Addone Flash“ als auch ein Adware-Entferner aus.

Die Malware wird gegen Menschenrechtler und Mitarbeiter von Rüstungsfirmen eingesetzt, erklären Sicherheitsforscher. Sie soll den Mac-Schlüsselbund mit den Zugangsdaten des Opfers an die angeblich iranischen Angreifer übermitteln.

Mit einem simplen Trick versuchen Angreifer, Menschenrechtler und Personen aus der Rüstungsindustrie zur Installation einer Malware zu bringen, die nun auch für Macs ausgelegt ist. Die MacDownloader genannte Schad-Software tarnt sich als vermeintlicher Adobe-Flash-Installer sowie zugleich als ein Entfernungs-Tool für Adware von Bitdefender, wie zwei Sicherheitsforscher ausführen, die sich seit längerem mit Cyber-Angriffen aus dem Iran befassen.
Angriff auf den Schlüsselbund mit den Zugangsdaten

Einmal installiert, versucht die Malware anschließend, den Schlüsselbund (Keychain) an den Angreifer zu übermitteln. Ein gefälschter Systemdialog soll den Nutzer zudem dazu bringen, Benutzernamen und Passwort einzugeben – um den Angreifern dann den Zugang zu den verschlüsselten Daten der Keychain-App zu ermöglichen.

MacDownloader scheint schlampig programmiert und wohl “der erste Versuch eines Amateur-Entwicklers”, merken die Sicherheitsforscher an. Ob die Malware ein valides Entwicklerzertifikat einsetzt, um die in macOS integrierte Schutzfunktion Gatekeeper zu umgehen, bleibt unklar. Sie wird offenbar unter anderem über gefälschte Webseiten ausgeliefert, die sich speziell an Mitarbeiter von Firmen wie Lockheed Martin, Raytheon und Boeing richten.
„Mac-Nutzer wähnen sich sicherer als sie sind“

Gerade Menschenrechtler, die sich auf den Iran konzentrieren, setzten – ebenso wie andere Communities – inzwischen wegen „Sicherheit und Stabilität“ verstärkt auf Apple-Geräte, erläutern die Sicherheitsforscher: MacOS-Nutzer wähnen sich womöglich besser vor Malware geschützt als sie tatsächlich sind und “könnten genau deshalb verwundbarer sein”.

MacDownloader wurde dem Bericht zufolge Ende 2016 entwickelt und bei letzter Prüfung nicht von der Schädlingsdatenbank VirusTotal erkannt – gängige Antiviren-Software habe wohl Schwierigkeiten, den Schädling zu erkennen.

(Quelle: heise.de)

Hier geht es zu unserem Sophos Antivirus. https://www.itc-solutions.ch/security/sophos-utm/