Highlight
Trojanische Software lockt zum Download von fieser Proxy-Malware
Die Sicherheitsexperten von Kaspersky haben eine neue Bedrohung entdeckt, bei der über bekannte Warez-Sites Software angeboten wird, die malwareverseucht ist. Dabei kommt ein Proxy-Trojaner zum Einsatz, der die Opfer-PCs in ein Botnetz eingliedert.
Die Kampagne nutzt die Bereitschaft der Menschen aus, die Sicherheit ihres Computers zu riskieren, um nicht für Premium-Anwendungen bezahlen zu müssen.
Kaspersky fand 35 Bildbearbeitungs-, Videokomprimierungs- und -bearbeitungs-, Datenwiederherstellungs- und Netzwerk-Scanning-Tools, die mit dem Proxy-Trojaner versehen waren.
Laut Kaspersky werden die trojanisierten Versionen im Gegensatz zu den legitimen Programmen, die als Disc-Images verteilt werden, als PKG-Dateien heruntergeladen. Im Vergleich zu Disc-Image-Dateien, die das Standard-Installationsmedium für diese Programme sind, sind PKG-Dateien wesentlich riskanter, da sie während der Installation der Anwendung Skripte ausführen können.
Da Installationsdateien mit Administratorrechten ausgeführt werden, erhalten alle Skripte, die sie ausführen, die gleichen hohen Berechtigungen. In diesem Fall werden die eingebetteten Skripte nach der Installation des Programms aktiviert, um den Trojaner, eine WindowServer-Datei, auszuführen und ihn als Systemprozess erscheinen zu lassen.
WindowServer ist ein legitimer Systemprozess in macOS, der für die Verwaltung der grafischen Benutzeroberfläche zuständig ist. Der Trojaner zielt also darauf ab, sich in routinemäßige Systemvorgänge einzuschleichen und sich der Kontrolle des Benutzers zu entziehen - und dabei möglichst unsichtbar zu bleiben.
Neben der macOS-Kampagne hostet dieselbe C2-Infrastruktur Proxy-Trojaner-Nutzlasten für Android- und Windows-Architekturen, sodass dieselben Betreiber wahrscheinlich ein breites Spektrum von Systemen anvisieren.
Siehe auch:
Nicht nur Windows im Visier
Das geht aus einem Bericht des Online-Magazins Bleeping Computer hervor. Kaspersky zeigt dabei jetzt das große Risiko, das von den Proxy-Trojanern und den Anwendungen ausgeht. Dabei zielt eine der neueren Kampagnen nicht nur auf Windows-Nutzer, wie das klassischerweise der Fall ist, sondern versucht jetzt gezielt auch macOS-Nutzer anzulocken.Die Kampagne nutzt die Bereitschaft der Menschen aus, die Sicherheit ihres Computers zu riskieren, um nicht für Premium-Anwendungen bezahlen zu müssen.
Kaspersky fand 35 Bildbearbeitungs-, Videokomprimierungs- und -bearbeitungs-, Datenwiederherstellungs- und Netzwerk-Scanning-Tools, die mit dem Proxy-Trojaner versehen waren.
Populäre trojanisierte Software der Kampagne:
- 4K Video Donwloader Pro
- Aissessoft Mac Datenrettung
- Aiseesoft Mac Video Konverter Ultimate
- AnyMP4 Android Datenrettung für Mac
- Downie 4
- FonePaw Datenrettung
- Sketch
- Wondershare UniConverter 13
- SQLPro-Studio
- Artstudio Pro
Laut Kaspersky werden die trojanisierten Versionen im Gegensatz zu den legitimen Programmen, die als Disc-Images verteilt werden, als PKG-Dateien heruntergeladen. Im Vergleich zu Disc-Image-Dateien, die das Standard-Installationsmedium für diese Programme sind, sind PKG-Dateien wesentlich riskanter, da sie während der Installation der Anwendung Skripte ausführen können.
Da Installationsdateien mit Administratorrechten ausgeführt werden, erhalten alle Skripte, die sie ausführen, die gleichen hohen Berechtigungen. In diesem Fall werden die eingebetteten Skripte nach der Installation des Programms aktiviert, um den Trojaner, eine WindowServer-Datei, auszuführen und ihn als Systemprozess erscheinen zu lassen.
WindowServer ist ein legitimer Systemprozess in macOS, der für die Verwaltung der grafischen Benutzeroberfläche zuständig ist. Der Trojaner zielt also darauf ab, sich in routinemäßige Systemvorgänge einzuschleichen und sich der Kontrolle des Benutzers zu entziehen - und dabei möglichst unsichtbar zu bleiben.
Versteckte Dateien
Die Datei, die für den Start von WindowServer beim Betriebssystemstart zuständig ist, heißt "GoogleHelperUpdater.plist" und imitiert eine Google-Konfigurationsdatei, wodurch sie sich als legitime Datei ausgibt, um unter dem Radar zu bleiben. Nach dem Start stellt der Trojaner über DNS-over-HTTPS (DoH) eine Verbindung zu seinem C2-Server (Command and Control) her, um Befehle zu erhalten.Neben der macOS-Kampagne hostet dieselbe C2-Infrastruktur Proxy-Trojaner-Nutzlasten für Android- und Windows-Architekturen, sodass dieselben Betreiber wahrscheinlich ein breites Spektrum von Systemen anvisieren.
Zusammenfassung
- Kaspersky warnt vor Malware in Software von Warez-Sites
- Proxy-Trojaner bindet Opfer-PCs in Botnetze ein
- Kampagne richtet sich nun auch gegen macOS-Nutzer
- 35 Programme mit Trojanern identifiziert, darunter 4K Video Downloader
- Trojanisierte Software wird als riskante PKG-Dateien verteilt
- Trojaner tarnt sich als legitimer Systemprozess WindowServer
- C2-Server steuert infizierte Macs über DNS-over-HTTPS
Siehe auch:
Neue MacOS-Videos
-
Ähnlicher Preis bringt die Frage auf: MacBook Neo oder ein iPad?
-
Windows 11 statt MacOS: Parallels Desktop 17 für Mac veröffentlicht
-
Windows, iOS & Android: Xbox Cloud Gaming jetzt für alle verfügbar
-
WWDC 2021: Die Ankündigungen von Tag 1 im Überblick
-
MacOS Big Sur: Eindrücke zu den Neuerungen des Betriebssystems
Beiträge aus dem Forum
-
KeePass – Der Open-Source Passwort-Manager für Windows, Linux, macOS,
d-hubs -
Wie alt sollte ein MacBook höchstens sein?
MiezMau -
Virtuellen PDF Drucker auf Macbook installieren - wie ?
Sonnenschein11 -
Surfstick für MacBook Air mit Sonoma 14
landbastler -
Win-Viren am Mac prüfen?
mondayand0 -
Kontextmenu bearbeiten
Brutschi -
Office 2019 MAC Problem
MiyaGi -
MacOS verliert bei ExFAT die Finder-Kommentare
Brutschi -
Windows Systemabbild wiederherstellen - hänge an einer Stelle :-(
der dom -
Safari springt immer wieder zum Homescreen
der dom
Beliebte Downloads
Weiterführende Links
Neue Nachrichten
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
- Fox kauft Roku: Neuer Streaming-Gigant für 22 Milliarden Dollar
- Drohnen-Alternative: Schlangenroboter prüfen Hochspannungsleitungen
- 110 Billiarden Kilometer: Forscher arbeiten an Karte von Pilzgeflechten
- Genialer 5G-Tarif ist zurück: Vodafone Unlimited-Flat für 14,99 Euro
- Zelda Ocarina of Time: Leak verrät neue Details zum Gameplay
- AMD trollt Apple und meint, dass das MacBook Neo beim Gaming versagt
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen