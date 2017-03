Die in einem russischen Message-Board gehandelte Malware soll weitgehenden Zugriff auf den Mac des Opfers ermöglichen – eine Signatur wiege Apples Schutzfunktion Gatekeeper in Sicherheit.

Unbekannte bieten in einem russischen Cybercrime-Message-Board ein für macOS entwickeltes Fernwartungs-Tool (Remote Administration Tool – RAT) an, das einen umfassenden Zugriff auf den Mac einer Zielperson verspricht. Die Proton genannte Malware soll unter anderem Tastatureingaben überwachen, Screenshots anfertigen, Dateien hochladen und Bash-Befehle als Root ausführen, wie die Sicherheitsfirma Sixgill berichtet – dies sei wohl nur durch Kenntnis einer bislang unbehobenen 0-Day-Sicherheitslücke möglich.

Apple-Entwicklerzertifikat für Signatur

Auch der Zugriff auf iCloud-Daten ist mit dem Tool angeblich möglich. Nach Angabe des Anbieters kann die Software mit einem Apple-Entwicklerzertifikat signiert werden – dann schlägt Apples in macOS integrierte Schutzfunktion Gatekeeper bei der Installation nicht an.

Das Einschleusen der Schad-Software müssen Käufer selbst übernehmen. Der Anbieter versucht offenbar, Nutzer zur freiwilligen Installation zu locken, indem Proton als Fernwartungs- und Überwachungs-Tool vermarktet wird, wie die Sicherheitsfirma anmerkt. In einem Werbevideo zeigt der zudem Anbieter, wie sich die Malware als Homebanking-Software Quicken tarnt.

45.000 Euro für das Gesamtpaket

Das Remote Access Tool wird für umgerechnet rund 45.000 Euro über das Message-Board angeboten, zu diesem Preis seien unlimitierte Installationen möglich. Zur Installation auf nur einem Ziel-Mac wird das Tool für 2 Bitcoin gehandelt – derzeit gut 2.300 Euro.

In der Vergangenheit waren Angreifer bereits mehrfach in der Lage, in den Besitz von Apple-Entwicklerzertifikaten zu gelangen, um ihre Schad-Software zu signieren – der Mac-Hersteller zog diese dann umgehend zurück. Mac-Malware ist immer noch vergleichsweise selten. Im vergangenen Jahr gab es einen ersten Versuch, einen Verschlüsselungstrojaner auf Macs zu bringen. Angreifer setzen aber durchaus auf spezielle Spionage-Tools für macOS, die gezielt gegen bestimmte Zielpersonen zum Einsatz kommen sollen.

