Kriminelle tricksen ihre Malware über Google-Werbung zu den Opfern
Sicherheitsforscher warnen vor einer neuen kriminellen Kampagne, die sich für die Verbreitung vor allem auf klassische Google-Werbung verlässt. Über diese werden bestimmte Nutzer gezielt zu Download-Seiten gelockt, über die Malware verbreitet wird.
Das Threat-Hunting-Team von Hunt.io entdeckte mehr als 85 Domains, die die drei Dienste nachahmen. Recherchen von des US-Magazins BleepingComputer zeigen außerdem, dass einige dieser Seiten über Google Ads beworben wurden. Das ist ein Versuch, die Seiten in Suchergebnissen glaubwürdiger erscheinen zu lassen. Die gefälschten Portale präsentieren täuschend echte Installationsanweisungen: Nutzer sollen per Copy-Button einen curl-Befehl in die Zwischenablage kopieren und im MacOS-Terminal ausführen.
Statt der erwarteten Cloudflare-Verifizierungsnummer landet jedoch ein base64-kodierter Installationsbefehl in der Zwischenablage. Dieser lädt ein Skript, dekodiert und führt es aus. Das Skript entfernt Quarantäne-Attribute, um Gatekeeper-Warnungen zu umgehen, lädt eine Binärdatei herunter und führt diese nach Prüfungen auf virtuellen Maschinen oder Analyseumgebungen aus. Als Nächstes fordert die Malware erhöhte Rechte über sudo an und beginnt mit der Erfassung detaillierter Hardware- und Speichernutzungsdaten.
Die Schadprogramme agieren subtil: Sie beenden etwa Updater-Daemons wie den von OneDrive und nutzen MacOS-XPC-Services, um ihre Aktivitäten mit legitimen Systemprozessen zu verschleiern. Anschließend aktivieren sie Info-Stealing-Module und stehlen unter anderem Zugangsdaten, Browser-Cookies, Krypto-Wallet-Informationen und Keychain-Daten an Command-and-Control-Server.
Experten raten Entwicklern und Anwendern dringend, keine Terminal-Befehle aus unbekannten oder nicht vertrauenswürdigen Quellen einzufügen. Wer unsicher ist, sollte die Befehle vor dem Ausführen prüfen, indem sie etwa erst einmal in einen Texteditor eingefügt werden, oder fachkundige Hilfe in Anspruch nehmen.
Siehe auch:
Entwickler im Visier
Im Visier stehen aktuell vor allem MacOS-Entwickler. Gefälschte Auftritte von Homebrew, LogMeIn und TradingView locken diese mit manipulierten Downloadseiten und verleiten Opfer dazu, schädliche Terminal-Befehle auszuführen. Die Schadsoftware, darunter der Infostealer AMOS (Atomic macOS Stealer) und die Familie "Odyssey", wird so unter tatkräftiger Hilfe der Opfer geladen und aktiviert.Das Threat-Hunting-Team von Hunt.io entdeckte mehr als 85 Domains, die die drei Dienste nachahmen. Recherchen von des US-Magazins BleepingComputer zeigen außerdem, dass einige dieser Seiten über Google Ads beworben wurden. Das ist ein Versuch, die Seiten in Suchergebnissen glaubwürdiger erscheinen zu lassen. Die gefälschten Portale präsentieren täuschend echte Installationsanweisungen: Nutzer sollen per Copy-Button einen curl-Befehl in die Zwischenablage kopieren und im MacOS-Terminal ausführen.
Statt der erwarteten Cloudflare-Verifizierungsnummer landet jedoch ein base64-kodierter Installationsbefehl in der Zwischenablage. Dieser lädt ein Skript, dekodiert und führt es aus. Das Skript entfernt Quarantäne-Attribute, um Gatekeeper-Warnungen zu umgehen, lädt eine Binärdatei herunter und führt diese nach Prüfungen auf virtuellen Maschinen oder Analyseumgebungen aus. Als Nächstes fordert die Malware erhöhte Rechte über sudo an und beginnt mit der Erfassung detaillierter Hardware- und Speichernutzungsdaten.
Die Schadprogramme agieren subtil: Sie beenden etwa Updater-Daemons wie den von OneDrive und nutzen MacOS-XPC-Services, um ihre Aktivitäten mit legitimen Systemprozessen zu verschleiern. Anschließend aktivieren sie Info-Stealing-Module und stehlen unter anderem Zugangsdaten, Browser-Cookies, Krypto-Wallet-Informationen und Keychain-Daten an Command-and-Control-Server.
Nicht einfach kopieren
AMOS, erstmals im April 2023 beschrieben, wird als Malware-as-a-Service angeboten (Berichten zufolge für etwa 1.000 Dollar pro Monat) und erhielt zuletzt eine Backdoor-Komponente für persistente Fernzugriffe. Odyssey Stealer, eine neuere Ableitung mit Wurzeln in Poseidon/AMOS, sammelt speziell Browserdaten, Wallet-Extensions und persönliche Dateien und verschickt sie als ZIP-Archiv.Experten raten Entwicklern und Anwendern dringend, keine Terminal-Befehle aus unbekannten oder nicht vertrauenswürdigen Quellen einzufügen. Wer unsicher ist, sollte die Befehle vor dem Ausführen prüfen, indem sie etwa erst einmal in einen Texteditor eingefügt werden, oder fachkundige Hilfe in Anspruch nehmen.
Zusammenfassung
- Kriminelle nutzen Google-Werbung zur Verbreitung von Malware an MacOS-Nutzer
- Gefälschte Downloadseiten von Homebrew, LogMeIn und TradingView im Umlauf
- Über 85 betrügerische Domains wurden vom Threat-Hunting-Team entdeckt
- Nutzer werden zur Ausführung schädlicher Terminal-Befehle verleitet
- Die Schadsoftware AMOS und Odyssey stehlen sensible Daten von Opfern
- Malware umgeht Sicherheitsmechanismen und tarnt sich als legitimer Prozess
- Experten warnen davor, Terminal-Befehle aus unbekannten Quellen auszuführen
Siehe auch:
Thema:
Neue MacOS-Videos
-
Ähnlicher Preis bringt die Frage auf: MacBook Neo oder ein iPad?
-
Windows 11 statt MacOS: Parallels Desktop 17 für Mac veröffentlicht
-
Windows, iOS & Android: Xbox Cloud Gaming jetzt für alle verfügbar
-
WWDC 2021: Die Ankündigungen von Tag 1 im Überblick
-
MacOS Big Sur: Eindrücke zu den Neuerungen des Betriebssystems
Beiträge aus dem Forum
-
KeePass – Der Open-Source Passwort-Manager für Windows, Linux, macOS,
d-hubs -
Wie alt sollte ein MacBook höchstens sein?
MiezMau -
Virtuellen PDF Drucker auf Macbook installieren - wie ?
Sonnenschein11 -
Surfstick für MacBook Air mit Sonoma 14
landbastler -
Win-Viren am Mac prüfen?
mondayand0 -
Kontextmenu bearbeiten
Brutschi -
Office 2019 MAC Problem
MiyaGi -
MacOS verliert bei ExFAT die Finder-Kommentare
Brutschi -
Windows Systemabbild wiederherstellen - hänge an einer Stelle :-(
der dom -
Safari springt immer wieder zum Homescreen
der dom
Beliebte Downloads
Weiterführende Links
Neue Nachrichten
- Windows 11 bekommt einen Button zum Entfernen aller KI-Modelle
- Meta macht (ein bisschen) Rückzieher bei Mitarbeiter-Totalüberwachung
- Update für Google Home: Gemini-KI startet nun auch in Deutschland
- Vernichtende Kritik: MMO-Hoffnung Camelot Unchained ein totaler Flop
- Komplett zerstörte Startrampe: Blue Origin hat aggressiven Aufbauplan
- Microsoft Surface Pro 13-Zoll: Das ist das Tablet mit Snapdragon X2 Elite
- Google will Android-Entwickler für Zugang zum App-Code bezahlen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon