[10.12 Sierra] Fruitfly 2 Backup-Domains

[iTiger97]

Hallo Leute,
der ein oder andere konnte wahrscheinlich schon einige Artikel bezüglich Fruitfly 2 lesen. Auch wenn die Malware nicht mehr auf dem aktuellsten Stand ist hätte ich diesbezüglich ein paar Fragen:
1. In dem Artikel wird immer "Backup-Server" benutzt. Um das Ganze jetzt nicht falsch aufzunehmen, welche Backup-Server sind gemeint die von Apple oder eher die der Software welche Malware ist.
2. Wenn es die Software ist welche Malware ist, warum wird diese nicht von XProtect bzw. wird der ausgehende Datenverkehr nicht gefilter/kontrolliert?
3. Wenn es der Backup-Server von Apple ist, werden diese nicht kontrolliert bzw. authentifiziert, sodass sich ein solcher C und C Server nicht einschleichen könnte?
MfG

 

[Carcharoth]

Du vermischt da mehrere Sachen.

1. Die Malware sucht regelmässig Kontakt zu einem (oder mehreren) Command-and-Control-Servern. Diese sind unter mehreren Domains erreichbar. Falls eine der Domains mal gesperrt wird, gibts andere Backup-Domains. Nicht Backup-Server.

2. Firewalls wie LittleSnitch etc. sollten solchen Verkehr eigentlich anzeigen. Ob XProtect das auch macht weiss ich nicht.

3. Die Frage macht keinen Sinn mehr, nachdem du Antwort 1 gelesen und verstanden hast. Oder den Heise-Artikel.

 

[iTiger97]

Ah alles klar. Danke dir

Naja XProtect ist ein schlechtes Beispiel, sagen wir mal die Firewall vom Mac

 

[landplage]

Zu 2: Steht im Heisde Artikel
"Apple blockiert seit Januar das Öffnen dieser Fruitfly-Variante durch die in macOS integrierte Schutzfunktion XProtect."