Mac-Trojaner verbreitet sich über Word-Dokumente

Gestern berichtete WinFuture über einen neuen Mac-Trojaner namens Sabpab, der eine gewisse Ähnlichkeit zum Flashback-Schädling aufweist. Inzwischen stellte sich heraus, dass sich die Malware über Word-Dokumente verbreiten kann. Die Autoren des Sabpab-Trojaners, so bezeichnen ihn jedenfalls die Sicherheitsexperten aus dem Hause 'Sophos', zielten bisher auf gängige Schwachstellen in Java unter Mac OS X ab. Nun wurde eine neue Version der Malware gesichtet. Zur Verbreitung wird auf die Textverarbeitungssoftware Word unter Apple-Systemen gesetzt.

Um ein System mit dem neuen Mac-Trojaner infizieren zu können, reicht es offenbar aus, ein entsprechend präpariertes Word-Dokument auf den Rechnern mit Apple-Betriebssystem zu öffnen. Die Eingabe eines Benutzernamens oder eines Passworts ist für eine erfolgreiche Infektion nicht notwendig.

Sollte sich Sabpab auf den Mac-Systemen eingenistet haben, so öffnet der Schädling ein Backdoor und kann weiteren Schadcode nachladen. Ferner ist der Mac-Trojaner dafür bekannt, persönliche Daten der Anwender auslesen zu können. Gegenwärtig wird von keiner großen Verbreitung des Schadcodes ausgegangen.

Ausgenutzt wird diesbezüglich eine seit Jahren bekannte Schwachstelle in Word für Mac. Microsoft beschreibt die Problematik (MS09-027) in einem veröffentlichten Beitrag näher und stellte vor geraumer Zeit ein Sicherheitsupdate dafür zur Verfügung. In vielen Fällen bekommen die Opfer, sofern die Word-Dokumente geöffnet werden, einen Text im Zusammenhang mit Tibet zu Gesicht.

Diese Dateien wurden offenbar zielgerichtet an Tibet-Aktivisten versendet. Bezeichnet wird ein derartiges Vorgehen als Spear-Phishing-Attacke. Charakteristisch ist dafür, dass die Angreifer nur einen bestimmten Personenkreis ansprechen und letztlich ins Visier nehmen.