Zehn gefährliche Mac-Viren: Antivirensoftware-Hersteller warnt vor Malware

Noch immer ist die Zahl der Virenangriffe auf Macs sehr selten, vor allem wenn man sie mit der Unmenge an PC-Viren vergleicht. Wie Statistiken der Sicherheitsforscher von AV-Test zeigen , ist aber die Zahl der Malware-Attacken in den letzten beiden Jahren deutlich gestiegen. Vor allem 2018 vervielfachte sich die Anzahl der Attacken, auch 2019 gab es bereits relativ viele Berichte über Mac-Malware.

Nicht ganz uneigennützig verweist auch der Hersteller von Mac-Antivirensoftware auf gleich zehn Malware-Attacken, die alle 2019 stattfanden. Laut Phil Stokes von Sentinel One handelt es sich um die Schadprogramme wie OSX.DOK, Cookie Miner, Lazarus und Pirrit. Die Übersicht von Sentinel One :

1. OSX.DOK: Diese Schadsoftware installiert eine versteckte Version des Tor-Browsers und andere Hacking-Tools, die darauf ausgelegt sind, Benutzerdaten zu stehlen, den Datenverkehr zu erfassen und dabei so gut es geht, unentdeckt zu bleiben. Sie wird meist über eine Phishing-Kampagne verbreitet und ist in der Lage, den gesamten Internetverkehr zu lesen inklusive dem verschlüsselten Traffic. Die Malware schreibt mehrere Apple-Domainnamen in die lokale hosts-Datei, so dass Verbindungen zu diesen automatisch auf 127.0.0.0.1 umgeleitet werden. Sobald die Malware beginnt, den Datenverkehr des Benutzers zu erfassen, verbindet sie sich mit einem Server im Dark Net und beginnt mit der Exfiltration.

2. CookieMiner: Das Fatale an diese Malware ist, dass sie gleichzeitig als Kryptominer und Backdoor eingesetzt werden kann. Bei der Infizierung des Gerätes installiert CookieMiner einen eigenen Monero-Kryptominer und eine Empyre-Hintertür. Sicherheitsforscher warnen, dass die Malware in der Lage ist, ausreichende Anmeldeinformationen zu stehlen, um Multifaktor-Authentifizierung zu verhindern, und den Hackern den Zugriff auf die Krypto-Wallets der Nutzer verschaffen kann.

3. Lazarus-Malware: Lazarus ist bei weitem keine neue Schadsoftware, wohl aber eine anhaltende Bedrohung, die es Angreifern ermöglicht, die volle Kontrolle über ein Gerät zu erlangen. Dabei verwenden sie eine Hintertür, die mit einem Befehls- und Steuerungsserver verbunden ist, um das Gerät zu übernehmen.

4. OSX.Pirrit: Pirrit ist ein Adware- und Browser-Hijacker, der Benutzer zu riskanten Websites umleitet, und darüber hinaus wohl auch in der Lage ist, die Nutzer auszuspionieren. SentinelOne fand diese Variante der Malware im letzten April und obwohl verwandten Samples, seit etwa zwei Jahren auf VirusTotal gelistet sind, wurde Pirrit von keiner der dortigen Reputationsmaschinen aufgenommen.

5. OSX.Siggen: Hierbei handelt es sich um eine Malware, die über eine gefälschte WhatsApp-Nachricht bereitgestellt wird, die vorgibt, WhatsApp für Telefone und Computer anzubieten. Auf einem Mac führt dies dann zum ungewollten Herunterladen der Malware. Eine versteckte Backdoor ermöglicht es den Hackern schließlich, die Kontrolle über das Gerät zu übernehmen.

6. OSX.Loudminer: Diese 2,5 GB große Malware verbreitet sich in der Regel durch Downloads von „geknackter“ Audiosoftware wie zum Beispiel Ableton Live. Ziel ist es, den Computer eines Benutzers zu übernehmen, um Kryptowährungen zu schöpfen. Dabei fokussieren die Hacker gezielt virtuelle Studio-Software und andere prozessorintensive Anwendungen, um ihre Kryptomining-Aktivitäten zu maskieren.

7. KeyStealDaemon: Diese Malware profitiert von einer mittlerweile gepachten Sicherheitslücke und kann sensible Passörter abgreifen. Benutzer, die ihr aktuelles MacOS-Update nicht gemacht haben oder Nutzer, die MacOS 10.11 El Capitan oder frühere Versionen verwenden, sind indes immer noch gefährdet.

8. OSX/Linker: Bereits im Februar haben Forscher Apple diesen gefährlichen Zero-Day-Bypass gemeldet, dennoch blieb der entsprechende Patch bis Mai 2019 aus. Linker wird über gefälschte Adobe Flash Player-Installer bereitgestellt und ermöglicht es einem Angreifer, ein Remote-Programm auf dem Rechner des Opfers auszuführen, wenn das Opfer ein bösartiges Disk-Image installiert.

9. OSX-Mokes und OSX.Netwire/Wirenet: Diese Schadsoftwarevarianten imitieren legitime Applikationen und nutzen Namen wie ‚Dropbox‘, ‚Chrome‘ und ‚Firefox‘, um eine Erkennung zu vermeiden. Vor allem MacOS-Benutzer, die ungepatchte Versionen von Firefox ausführen oder mit Mokes.B oder Netwire.A infiziert sind, sind besonders gefährdet. Über eine Backdoor können Angreifer Screenshots aufnehmen, Tastenanschläge aufzeichnen oder Benutzerdaten exfiltrieren.

10. OSX/CrescentCore: Bei CrecentCore handelt es sich um einen neuartigen Dropper, der versucht, Downloads und Browsersuchen auf einem infizierten Computer durch Scareware, Bloatware und Search Hijack-Software zu monetarisieren. Die Vielzahl der PUP- und Adware-Installationen beeinträchtigt dabei nicht nur die Leistung des Computers und kann sogar zum kompletten Ausfall führen, die Nutzer werden auch durch unerwünschte Browserseiten, unzählige Popups und gefälschte Virenwarnungen belästigt.

Unsere Meinung

Die Zahl der Malware-Angriffe auf den Mac hat sich in den letzten Jahren stark gesteigert, im Vergleich zur PC-Plattform ist der Mac aber noch immer ein sehr sicherer Ort. So zählen die Sicherheitspezialisten von AV-Test für das Jahr 2018 zwar immerhin 93 779 Mac-Viren, kommen aber bei den PC-Viren gleich auf  ganze 67 600 000 PC-Viren – also etwa das siebenhunderfache. Eher ein Grund zur Sorge: In den letzten Jahren ist die Anzahl an Mac-Malware-Attacken jedes Jahr gestiegen. Benötigt man aber deshalb eine Antivirenlösung wie die von Sentinel One? Zu den genannten Malware-Beispielen sind doch einige Anmerkungen zu machen: So ist OSX.DOK schon seit 2017 aktiv, also keine komplett neue Gefahr. Allgemein sind viele der Schadprogramme oft keine komplett neuen Viren, sondern aktualisierte oder sogar auf den Mac portierte alte Schadprogramme. Die Besonderheit bei OSX.DOK aber war, dass die Malware über eine gültige Developer-ID verfügte und die Schwächen von Apples Sicherheitssystemen XProtect und Gatekeeper zeigte. So funktioniert etwa der Schutz von XProtect nur gegen bekannte Schädlinge: Wird die Schadsoftware aber nur leicht verändert, kann XProtect sie nicht mehr erkennen und blocken.

Interessant ist außerdem, wie die Malware bei den Opfern auf den Mac gelangte: Cookieminer oder auch OSX.DarthMiner landete offenbar oft auf den Mac, indem sich die Malware als Software für das „Entsperren“ von Adobe-Software ausgibt. Stattdessen installiert es aber die Open Source-Tools EmPyre und XMRig und schürft ab sofort Kryptowährungen.

Das gilt auch für Cloudminer, das sich als kostenlos nutzbare Version von Ableton Live ausgibt: Mit einem Dateiumfang von 2,5 GB ist die Malware wohl nebenbei der größte uns bekannte Mac-Virus und gelangt keinesfalls unbeabsichtigt auf den Mac. Eine wenig „Mitarbeit“ ist bei den Opfern also oft erforderlich, auch eine Antivirensoftware würde da eventuell wenig helfen.

Was bei Siggen und vielen Malware-Programmen zutrifft: Die Malware muss vom Anwender selbst installiert werden. Siggen etwa täuscht eine WhatsApp-Software vor, bei der Installation lädt das Tool dann im Hintergrund eine Backdoor. Oft landet eine Malware per E-Mail-Anhang auf dem Rechner, beispielsweise als PDF des Finanzamtes.

Adware

Bei Adware sind die Grenzen zwischen Marketing und Malware oft fließend. Eine Besonderheit von Pirrit ist etwa, dass es sich um eine sehr gut bekannte Adware handelt, die seit 2017 aktiv ist und gezielt Werbung im Browser einblendet. Der israelische Hersteller Targeting Edge bestreitet, dass es sich um eine Malware handelt, wehrte sich sogar per Anwalt . In den letzten Jahren ist aber der Umfang von Adware auf dem Mac glücklicherweise stark zurückgegangen – Grund dafür sind aber dafür angeblich weniger Sicherheitsprogramme als sinkende Preise für Online-Werbung – das Geschäftsmodell ist nicht mehr so profitabel wie einst.

Einige der Malware-Beispiele zeigen aber, wie wichtig aktuelle App-Versionen und ein aktuelles System sind. Nicht ohne Grund aktualisieren Browser wie Chrome und Firefox sich mittlerweile automatisch. So setzt ja OSX Mokes eine veraltete Version von Firefox voraus und OSX/Linker und KeySteal Demon wurden durch ein Systemupdate bereits unschädlich gemacht.

Ist auf dem Mac deshalb eine Antivirensoftware erforderlich? Für einen Privatanwender nach unserer Einschätzung eigentlich nicht. Anders sieht es aber aus, falls man in einem Unternehmen für die Sicherheit von zahlreichen Macs und PCs verantwortlich ist. 

Eine Aufstellung aktueller Antivirenprogramme finden Sie hier.