Suchen

Drive-by-Malware für Mac OS X Mac-Trojaner Flashback.G nutzt Java-Schwachstellen

| Redakteur: Stephan Augsten

Malware für Mac-Systeme ist selten, daher vernachlässigt manch ein Apple-Kunde das Patchen. Der Mac-Trojaner Flashback profitiert davon, indem er aktuelle Java-Schwachstellen per Drive-by-Download ausnutzt.

Firma zum Thema

Diese Zertifikatswarnung soll den Weg ins Mac-System ebnen, wenn Flashback keine Schwachstelle eigenständig ausnutzen kann.
Diese Zertifikatswarnung soll den Weg ins Mac-System ebnen, wenn Flashback keine Schwachstelle eigenständig ausnutzen kann.

Mac-Nutzer sollten installierte Java-Laufzeitumgebungen schleunigst auf den neuesten Stand bringen. Dem Security-Anbieter Intego zufolge ist nämlich eine neue Variante des Flashback-Trojaners in Umlauf, der zwei Java-Schwachstellen ausnutzt.

Flashback.G kann Mac-Systeme deshalb per Drive-by-Donwload befallen, ohne dass eine Interaktion den Nutzers vonnöten wäre. Ein Großteil der bislang registrierten Infektionen betrifft das Apple-Betriebssystem Mac OS X 10.6 (Snow Leopard), da Java hier schon vorinstalliert ist.

Wird keine der beiden Anfälligkeiten auf dem System gefunden, dann versucht der Mac-Trojaner mithilfe eines Social-Engineering-Tricks auf den Rechner zu gelangen. An dieser Stelle wird es selbst für Mac-Nutzer mit gepatchten Systemen gefährlich.

Der Benutzer wird gewarnt, das ein scheinbar von „Apple Inc.“ stammendes Zertifikat als unsicher eingestuft wurde. Um Fortzufahren, müsse der User die Vertrauenswürdigkeit bestätigen. Klickt der Mac-Nutzer im Rahmen der Verifizierung auf die Schaltfläche „Fortfahren“, so wird sein System infiziert.

Hinweise auf Flashback-Infektion

Sobald der Trojaner das System kompromittiert hat, legt er eine unsichtbare Datei mit einer Kopie seiner selbst an. Die Datei endet grundsätzlich auf die Erweiterung .so und findet sich im Ordner „/Users/Shared“, kann aber verschiedene Namen tragen. Beispiele hierfür sind /Users/Shared/.PCImageEditor.so oder auch /Users/Shared/.InternetHistoryKiller.so.

Flashback manipuliert sowohl den Browser als auch Netzwerk-Anwendungen. Die manipulierten Software-Komponenten – allen voran der Safari-Browser und Netzwerk-Anwendungen wie Skype – sollen infolge der Schadcode-Injektion zu häufigen Abstürzen neigen.

Die Entwickler des Mac-Trojaners haben es offenbar auf Online-Benutzernamen und Passwörter abgesehen. Das Hauptaugenmerk liegt dabei auf Domains wie Google und Yahoo! sowie PayPal und Online-Banking-Webseiten.

(ID:32178090)