Gezielte Phishing-Attacken greifen OS X an

Stefan Keller, den 21. Januar 2014
Thema: Phishing
Thema: Phishing

Der Anti-Virus-Entwickler Sophos warnt vor gezielten Phishing-Attacken auf Macs. Die Malware versteckt sich in Spam-Mails von Logistik-Unternehmen.

Im Posteingang landet eine Mail eines Transportunternehmens wie DHL, Royal Mail oder FedEx und informiert darüber, dass eine Sendung nicht zugestellt werden konnte. Man möge einen Link klicken, um an ein Dokument zu kommen, das weitere Informationen beinhaltet. Im aktuellen Fall wird man auf eine scheinbar legitime Seite geleitet, der wahre Link wird jedoch vom Angreifer kontrolliert. Schaut man sich den URL auf einem mobilen Gerät an, wirft der Server einen Fehler. Geht man mit einem Desktop-Browser, der nicht Safari ist, auf den Link, lädt man sich den Trojaner Mal/VBCheMan-C herunter, wie er bei Sophos heißt. Öffnet sich der Link in Safari, lädt man sich ein ZIP-File herunter, das Safari standardmäßig extrahiert und hinterlässt ein „PDF-File“ im Downloads-Ordner.

„PDF-File“ ist ein Trojaner

In Wahrheit ist das PDF-File allerdings ein Programm, das nur mit einem PDF-Symbol ausgestattet wurde. Beim ersten Aufruf fragt OS X, ob man das Programm ausführen möchte. Die Warnung, dass der Entwickler nicht zertifiziert ist, fehlt, weil das Programm tatsächlich digital signiert ist. Ruft man es dennoch auf, passiert augenscheinlich nichts – nur der Taskmanager offenbart einen neuen laufenden Prozess namens foung. Dieser wird von Sophos als „Robot Malware“ kategorisiert und heißt OSX/LaoShu-A.

Auf der Suche nach Daten

Zweck dieser Malware ist es, die Festplatte nach bestimmten Dateien abzusuchen, beispielsweise Office-Dateien (*.doc, *.docx, *.xls usw.) und diese in gepackter Form an einen Server zu senden. Weiterhin ist die Malware in der Lage, neue Dateien herunterzuladen und Shell-Befehle auszuführen. Das Exemplar, das sich Sophos eingefangen hat, war in der Lage, Bildschirmfotos anzufertigen und diese an einen Server zu senden.

Schutz vor der Masche

Um sich den Virus nicht einzufangen, sollte man E-Mails unbedingt auf Plausibilität prüfen, beispielsweise ob der angezeigte Link auch jener ist, der geöffnet werden soll, wenn man darauf klickt. In Mail muss man dazu den Mauszeiger einige Zeit auf dem URL lassen, im Quickinfo wird dann der tatsächliche URL angezeigt. Weiterhin sind echte PDF-Dateien keine Programme, weshalb OS X beim Öffnen auch nicht fragen sollte, ob man das Programm wirklich öffnen will. Da auch „echte“ (manipulierte) Office-Dateien im Umlauf sind, die es auf noch nicht gepatchte Sicherheitslücken abgesehen haben, sollte zudem sichergestellt werden, dass alle installierten Programme wie Java oder Office auf dem neusten Stand sind.


Ähnliche Nachrichten