MacOS: Malware greift auch verschlüsselten HTTPS-Datenverkehr ab

Mit dem sogenannten Gatekeeper möchte Apple komplett verhindern, dass Malware in das System eindringen kann. Doch nun wurde eine neue Schadsoftware gefunden, welche die entsprechenden Schutz­me­cha­nis­men umgeht. Der Nutzer muss hier allerdings aktiv mitwirken. Viele Nutzer sehen in Apples MacOS ein vollständig abgesichertes System, welches wenig anfällig für Viren und Trojaner ist. Sicherheitsforscher von CheckPoint haben jetzt allerdings eine OSX/Dok genannte Malware entdeckt, die ein gültiges Entwicklerzertifikat verwendet, um auf das System des Nutzers geschleust werden zu können. Die Infektion erfolgt über das Herunterladen einer ZIP-Datei, welche das schädliche Programm enthält. Oftmals werden diese Dateien verbreitet, indem sie an eine Spam-Mail angehängt werden.

Programm gibt sich als Systemupdate aus

Nachdem die Schadsoftware ausgeführt wurde, wird ein Prozess mit dem Namen "AppStore" angelegt. Dieser wird zudem nach jedem Bootvorgang erneut ausgeführt. Der Nutzer bekommt eine Meldung zu sehen, welche dazu auffordert, ein OS-X-Update auf dem System zu installieren. Da das Fenster im Vollbild-Modus angezeigt wird und keine anderen Fenster mehr angesteuert werden können, legt die Malware bereits hier den Rechner komplett lahm.

Doch nach der Ausführung des angeblichen Update-Vorgangs wird das Betriebssystem überhaupt nicht aktualisiert: Stattdessen bekommt die Malware lediglich Administrator-Rechte zugesprochen, sodass noch mehr Schaden angerichtet werden kann. Anschließend richtet die Schadsoftware eine Art Proxy ein, über welchen der komplette Internetverkehr geleitet wird. Durch ein weiteres Zertifikat kann auch via HTTPS verschlüsselter Datenverkehr mitgelesen werden. In den meisten Fällen werden über entsprechende Verbindungen sensible Informationen, Konto-Daten oder Passwörter übertragen.

Download RogueKiller - Zuverlässig Malware entfernen