Dipl.-Inform. Carsten Eilers

Inzwischen gibt es mindestens einen ernst zu nehmenden Mac-Schädling "in the wild": Der Trojaner "Flashback" nutzt inzwischen zwei Schwachstellen in Java aus, um sich in Mac-OS-X-Rechnern einzuschleusen. Schlägt das Einschleusen fehl, weil die Java-Installation auf dem aktuellen Stand ist und die Schwachstellen daher nicht vorhanden sind, versucht es der Trojaner mit einem Social-Engineering-Trick: Er gibt sich als angeblich von Apple signiertes Java-Applet aus, dass installiert werden muss.

Flashback selbst ist schon älter, die bisherigen Varianten (A, B) tarnten sich jedoch als Flash-Player-Installer und ließen sich dann von arglosen Benutzern installieren. Die aktuelle Variante schleust erst mehr oder weniger heimlich ihren Startcode ein (entweder über die Java-Schwachstellen oder über den Social-Engineering-Trick), der dann versucht, per Social Engineering die Erlaubnis zur Installation weiteren Codes zu erhalten. Dabei gibt sich der Schadcode als "Software Update" aus. Je nachdem, ob der Benutzer das Administrator-Passwort eingibt oder nicht, wird der weitere Schadcode dann entweder direkt in Safari oder als Shared Library installiert. Da die Anforderung des Administrator-Passwort aus Benutzersicht anscheinend von einem regulären Update ausgeht und kein Zusammenhang mit einem Download besteht, dürften viele Benutzer arglos das Administrator-Passwort eingeben.

Ist der eigentliche Schadcode installiert, dient er zum Ausspähen von Zugangsdaten und der Manipulation von angezeigten Webseiten.

Während die aktuelle Flashback-Variante nur ihren Startcode ohne Interaktion des Benutzers einschleusen kann, sind andere Schadcode-Entwickler schon weiter und kommen ganz ohne Benutzerinteraktion aus:

Chinas Angriffe auf Mac-Benutzer

Chinas Spionage-Netzwerk GhostNet wurde 2009 entdeckt, als entsprechende Schädlinge auf Rechnern der tibetanischen Exilregierung gefunden wurden. Ausspioniert wurden vor allem Regierungsstellen, Unternehmen und Forschungseinrichtungen in Indien, das Büro des Dalai Lama und die Vereinten Nationen.

Die Entdeckung hat dem GhostNet nicht weiter geschadet, es ist immer noch aktiv, und jetzt gibt es Berichte über eine neue Mac-Backdoor, die eine Java-Schwachstelle ausnutzt, um sich ohne Interaktion des Benutzers auf den angegriffenen Rechnern zu installieren. Die angegriffenen Rechner werden vermutlich in GhostNet eingebunden.

Ziel der Angriffe sind u.A. Nicht-Regierungsorganisationen (Non-Governmental Organizations, NGO) mit Verbindungen zu Tibet (und da sage noch mal einer, Geschichte wiederholt sich nicht!). Übrigens dient als ein Köder für die NGOs eine E-Mail mit einer Warnung vor genau dem Angriff, dem der Mailempfänger zum Opfer fallen soll. Ist das nun geschickt oder nicht? Auf jeden Fall ist es dreist.

Außer Macs werden auch Windows-Systeme angegriffen. Aber das ist ja nun wirklich nichts Neues.

Ach so: Die Frage, ob die Angriffe nun von China ausgehen oder nicht und ob die chinesische Regierung dafür verantwortlich ist oder nicht, wird sich wie immer nicht endgültig klären lassen. Auf das Problem, dass man Cyber-Angriffe nie mit letzter Sicherheit zum eigentlichen Angreifer zurück verfolgen kann, bin ich ja schon mindestens zwei mal eingegangen.

Während manche Cyberkriminelle also schon ganz oder fast ohne Benutzerinteraktion auskommen, setzen andere weiterhin auf Social Engineering und den altbekannten Grundsatz "Sex sells":

Sexy Fotos mit .app-Endung

Die aktuelle Version des Trojaners "Imuler" tarnt sich als ZIP-Archiv mit Bildern, von denen eins dann aber kein Bild sondern ein Programm ist. Da der Mac in der Default-Einstellung keine Dateiendungen anzeigt und das Programm als Icon ein passendes Bild enthält, werden die meisten Benutzer den Trojaner als Bild ansehen und öffnen. Das dann das Programm startet und u.a. ein passendes Bild erzeugt und anzeigt, wird den wenigsten Opfern auffallen. Die Schadfunktionen bestehen in einer Backdoor und dem Ausspähen vertraulicher Informationen.

Eine wichtige Information fehlt dabei aber in allen Berichten über die aktuelle Version, sowohl bei den schon oben verlinkten Berichten von Intego und Sophos als auch bei F-Secure und ESET: Normalerweise warnt Mac OS X den Benutzer beim ersten Start eines aus dem Internet geladenen Programms (und in manchen Fällen auch bei jedem späteren Start, Mac OS X enthält auch immer mehr nervende Fehler). Wieso das in diesem Fall nicht passiert, wird leider nicht verraten und ist mir ein Rätsel.

Fazit

Flashback ist nur noch einen kleinen Schritt davon entfernt, zu einer echten Drive-by-Infektion zu werden, es muss nur noch die Frage nach Administrator-Rechten nach der ersten Infektion entfernt werden, um ein System unerkannt zu infizieren. Bei der GhostNet-Backdoor handelt es sich schon um eine echte Drive-by-Infektion, der Benutzer muss nur auf eine präparierte Seite gelockt werden, um seinen Rechner zu infizieren.

Es wird also nicht mehr lange dauern, bis auch Macs unbemerkt vom Benutzer und ohne dessen Zutun beim Besuch einer eigentlich harmlosen, aber z.B. nach einer Kompromittierung für Drive-by-Infektionen präparierten Website mit Schadsoftware infiziert werden.

Bis es soweit ist, setzen die Cyberkriminellen weiter auf die ebenso altbekannten wie altbewährten Social-Engineering-Tricks, z.B. als Bild getarnte Programme oder angebliche Flash-Player-Installer. Wobei der Trick mit dem als Bild getarnten Programm eigentlich an der Mac-OS-X-Warnung

"sexy-bild.app" ist ein Programm, das aus dem Internet geladen wurde. Möchten Sie es wirklich öffnen?

Safari hat die Datei am ... geladen

scheitern müsste, wenn der Benutzer seine Sinne beisammen hat. Beim gerade herunter geladenen Flash-Player-Installer erwartet der Benutzer die Warnung ja, bei einem Bild ist sie aber eindeutig ein Hinweis darauf, dass etwas nicht stimmt.

Wenn Sie also einen Mac benutzen: Seien Sie vorsichtig. Die Cyberkriminellen wollen alle nur Ihr Bestes. Z.B. ihre Daten oder ihr Geld.

Carsten Eilers