Exe-File infiziert Mac

von Urs Binder

13. Februar 2019 - Mit Hilfe des Mono-Frameworks und einer Windows-Applikation attackiert eine neue Malware MacOS-Systeme. Sicherheitsmechanismen wie Gatekeeper werden dabei umgangen.

Eine neue Malware zielt auf den Mac ab. Sie kommt im Kleid eines ausführbaren Windows-Programms daher, basiert jedoch auf dem alternativen .NET-Framework Mono, das auch auf dem Mac läuft.

Den Schadcode haben Sicherheitsforscher von Trend Micro ausgerechnet in illegalen Varianten der Mac-Firewall Little Snitch entdeckt; er ist jedoch auch in anderen vorgeblichen Mac-Applikationen aus zweifelhaften Quellen enthalten. Auf den ersten Blick präsentiert sich die Malware als reguläres Dmg-Archiv, das einen ebenso regulären Mac-Installer enthält. Wird dieser gestartet, führt er die schädliche Exe-Datei mit Hilfe des ebenfalls enthaltenen Mono-Frameworks aus. Damit wird der Code-Signatur-Prüfmechanismus Gatekeeper des MacOS ausgehebelt, da dieser keine Exe-Files berücksichtigt.

Laut Trend Micro wurden bisher vor allem Systeme in Grossbritannien, Australien, den USA, Südafrika, Armenien und Luxemburg infiziert. Im Moment sammelt die Malware Systemdaten und installiert Adware. Der Sicherheitsspezialist rechnet jedoch damit, dass Cyberkriminelle solche Malware künftig auch für weitere Angriffe nutzen, etwa um Zertifikatprüfungen aller Art zu umgehen. Das Unternehmen rät Mac-Nutzern, Applikationen nur aus vertrauenswürdigen Quellen und nicht via Torrents oder von nicht verifizierten Websites herunterzuladen.

Copyright by Swiss IT Media 2019