Die Mac-Malware Shlayer setzt auf neue Verfahren, um die Sicherheitsmechanismen von macOS zu umgehen. Shlayer wird seit längerem in großem Stil über Banner-Werbung ausgeliefert und ist gewöhnlich mit einem Apple-Entwicklerzertifikat signiert, sodass der Nutzer beim Ausführen keinen Warnhinweis sieht. Die Malware tarnt sich gewöhnlich als Flash-Updater und ist darauf angewiesen, dass der Nutzer sie eigenhändig installiert.

Tarmac umgeht Apples Gatekeeper und XProtect

Mit einem solchen Hinweisdialog versucht die Malware das Nutzerpasswort zu erlangen. (Bild: Confiant)

Eine weitere Variante von Shlayer lädt nach der Installation per Skript eine neue, "OSX/Tarmac" genannte Schadsoftware nach, wie aus einer Analyse der Sicherheitsfirma Confiant hervorgeht. Tarmac wird über das Kommandozeilenprogramm curl heruntergeladen und kommt so ohne Quarantäne-Attribut auf den Mac – dadurch wird der Schädling auch unsigniert ausgeführt, ohne dass die in macOS integrierten Schutzmechanismen Gatekeeper und XProtect anschlagen, wie die Sicherheitsforscher erklären. Das gelte zumindest bis hin zu macOS Mojave 10.14.6.

Tarmac versucht der Analyse zufolge zuerst, mit einem gängigen Autorisierungsdialog das Passwort des Nutzers abzugreifen, um erweiterte Rechte zu erlangen. Die Malware sei von versierten und mit macOS vertrauten Entwicklern geschrieben und tarne ihre Funktionsweise geschickt, schreibt Confiant. Den Sicherheitsforschern ist es nicht gelungen, Einblick in den verschlüsselten Netzwerkverkehr mit dem Command&Control-Server zu erlangen, es sei aber klar, dass Tarmac weiteren Code nachladen könne.

Mac-Malware Shlayer schon länger im Umlauf

Shlayer ist bereits seit fast zwei Jahren in Umlauf und wird in immer neuen Varianten gesichtet. Vorausgehende Exemplare des Schädlings versuchten etwa, Apples Gatekeeper ganz abzuschalten. Bislang scheint Shlayer hauptsächlich dafür eingesetzt worden zu sein, um Adware auf dem Mac des Opfers zu installieren. Durch die Einbindung in Banner-Werbung kann der Trojaner auch beim Besuch normaler Webseiten plötzlich zum Download angeboten werden, Nutzer sollten derart angebotene Software keinesfalls installieren.

Ebenfalls interessant:

(lbe)