Neue Malware für OS X umgeht Gatekeeper

[Martin Wendel]

Für OS X ist eine neue Malware aufgetaucht, die von der in OS X Mountain Lion eingeführten Sicherheitsbarriere Gatekeeper nicht als solche erkannt wird, da diese anscheinend mit einer offiziellen Apple Developer ID signiert wurde. Die breite Masse muss sich jedoch keine Sorge machen, da es sich laut Macworld um einen sogenannten Spear-Phishing-Angriff handle. Dies bedeutet, dass die Malware gezielt gegen einzelne Personen oder Unternehmen eingesetzt wird.[PRBREAK][/PRBREAK]

Ziel des Angriffs war in diesem Fall der Mac eines Menschenrechts-Aktivisten aus Angola, der sich zur Zeit in Oslo befindet. Die Malware, die von der Sicherheitsfirma F-Secure auf den Namen OSX/KitM.A getauft wurde, erstellt – ohne Wissen des Nutzers – Screenshots und speichert diese zum späteren Upload auf Server, die sich laut F-Secure in den Niederlanden befinden sollen. Außerdem kann die Malware weitere Schadsoftware aus dem Internet laden und installieren und verdeckt ihre Netzwerkaktivität um unentdeckt zu bleiben. Security-Experte und Datenschutz-Aktivist Jacob Applebaum, der die Malware ursprünglich entdeckt hat, möchte zu einem späteren Zeitpunkt weitere Informationen zu der Schadsoftware veröffentlichen. Zuerst müsse er aber mit dem Opfer der Attacke über die Situation sprechen, da dieser – so heißt es in dem Bericht von Macworld – in Lebensgefahr stecken könnte.

Apple kann das Zertifikat, mit dem die Malware signiert wurde, widerrufen, wodurch die Software bei einer irrtümlichen Installation von Gatekeeper als nicht signiert erkannt wird. Da man OS X-Apps nur als Teilnehmer am Developer-Programm von Apple signieren kann, sollten sich außerdem die Verantwortlichen hinter der Malware ausfindig machen lassen.

Via Macworld, Cult of Mac

 

[RedCloud]

Hilfe, wir brauchen jetzt doch den Norton Kaspersky von McAvira. :-x

 

[Mitglied 105235]

Ich habe den Gatekeeper nicht mal aktiv, habe ihn mal ausprobiert aber allein Installieren geht dann schon nicht mehr wenn es nicht aus App Store bzw. von Verifizierten Entwicklern kommen. Eine Zeitlang war es auch so das man die Apps nicht mal mehr Starten konnte, wenn sie Installiert waren und nicht aus Store bzw. von Verifizierten Entwicklern gekommen sind. Wie es aktuell ist kann ob das immer noch so mit den Installieren Anwendung ist kann ich nicht sagen.

 

[Pascolo]

Wie schlich sich diese Schadsoftware denn auf den Mac?

 

[computerschreck]

Jacob Appelbaum sagt, der Herr bei dem er die Software gefunden hat sei einer Art Mischung aus Social Engineering und Phishing (Spear Phishing) zum Opfer gefallen. So nach dem Motto "Hier, mach mal das Programm auf".

Wer gucken will, ob er die Malware auf seinem Rechner hat, findet hier eine Anleitung zur Entdeckung und Entfernung des ganzen. Und wenn ich mir den Kommentar erlauben darf, den "Trojaner" hätte meine Oma besser hinbekommen.


Zusatzinfos:
(1) - http://www.securityweek.com/malicio...d-valid-developer-id-found-activists-computer

(2) - http://www.f-secure.com/weblog/archives/00002554.html

(3) - Die Software versucht anscheinend, sich mit zwei C&C-Servern zu verbinden, nämlich 109.235.50.173 und 178.33.210.29. Wer da ein bisschen Spaß haben will..

 

[iTea]

Ich habe den Gatekeeper nicht mal aktiv, habe ihn mal ausprobiert aber allein Installieren geht dann schon nicht mehr wenn es nicht aus App Store bzw. von Verifizierten Entwicklern kommen. Eine Zeitlang war es auch so das man die Apps nicht mal mehr Starten konnte, wenn sie Installiert waren und nicht aus Store bzw. von Verifizierten Entwicklern gekommen sind. Wie es aktuell ist kann ob das immer noch so mit den Installieren Anwendung ist kann ich nicht sagen.

Das stimmt so nicht. Du kannst auch Programme von nicht verifizierten Entwicklern über Rechtsklick -> öffnen installieren. Eigentlich sehe ich keinen Grund, diese Sicherheitsfunktion nicht zu aktivieren.

 

[Mitglied 105235]

So war es am Anfang und seitdem habe ich ihn deaktiviert.

Wie es scheint hat sich das aber geändert.

 

[Marcel Bresink]

Apple sollte es möglich sein, das Zertifikat, mit dem die Malware signiert wurde, zu widerrufen, wodurch die Software keinen weiteren Schaden mehr anrichten dürfte.

Das ist ein Trugschluss, denn die Software funktioniert danach genauso wie vorher.

Wenn das Zertifikat widerrufen wird, wird nur für den Fall, dass die Software nochmal von einem Netzwerk heruntergeladen wird, beim ersten Startversuch eine Gatekeeper-Warnung erscheinen. Mehr passiert nicht.

 

[Martin Wendel]

@ Marcel: Danke für den Hinweis. Hab schon fast vermutet, dass Die Info von Cult of Mac nicht ganz passen kann.

 

[iDesign]

@ Marcel: Danke für den Hinweis. Hab schon fast vermutet, dass Die Info von Cult of Mac nicht ganz passen kann.

Aber dennoch einfach mal so übernommen... Ich sag' schon gar nichts mehr dazu.

 

[Martin Wendel]

Nein, nicht einfach so übernommen.
Am besten du sagst wirklich nichts mehr.

 

[iDesign]

Qualifizierte Aussage aus der Redaktion. Wenn hier eine Information von einem Dritten stammt, dann wurde sie ja wohl übernommen. Wenn der Redaktion bei Berichten von anderen Parteien etwas auffällt und sie sich nicht sicher ist, ob die Information korrekt ist oder aus irgendwelchen Beweggründen davon ausgeht, dass sie nicht korrekt, dann sollte sie auch nicht im Artikel stehen.

 

[Martin Wendel]

Möchtest du jetzt was sagen oder nicht?

 

[FelixMacintosh]

Manche Sachen ändern sich wohl nie. In dem Moment wo man seinen Computer ans WAN anschließt öffnet man nun einmal ein "Tor" das potentielle Gefahren birgt.
Dennoch wird man vor der Installation ja immer noch gefragt ob man der Quelle vertraut. Muss also eine persönliche Analyse vollziehen.
Da ist man dann auch unabhängig von der Sicherheit des Betriebssystem als User gefragt und sollte sich selbst Fragen: Was installiere ich da eigentlich, wo habe ich es her, ist die Download-Seite signiert und stimmt die Signatur bzw. das Zertifikat? Ist die Seite gesichert (https)?
Auch bei Gratis-Apps aus dem Store, bei manchen bezahlt man dort auch mit den eigenen Daten.
Das sich Signaturen fälschen lassen sollte man halt immer im Hinterkopf behalten und nicht nur auf die Sicherheits-Features (Gatekeeper) usw. setzen.

@iDesign: Na, jetzt sei mal nicht so streng...ist doch der Sinn das aus den News eine Diskussion entsteht. Außerdem ist das denke ich das erste Bekanntwerden von Missbrauch via Gatekeeper. Und da den Vorgang/die Hintergründe zu ergründen hat wohl leicht dubiose Tendenz, allein weil man den Menschenrechts-Aktivisten auch schützen möchte. Da soll man nicht alle Details kennen.

 

[RedCloud]

Aber dennoch einfach mal so übernommen... Ich sag' schon gar nichts mehr dazu.

Hauptsache Du hast nochmal nachgetreten - oder?

 

[raven]

Aber dennoch einfach mal so übernommen... Ich sag' schon gar nichts mehr dazu.

Wäre besser gewesen. Musste das sein?

 

[echo.park]

Auf macrumors.com habe ich gelesen, einen solchen Developer Account könnte man sich für 100 $ bei Apple besorgen.

Na, wenn das mal stimmt, und wenn das dann mal nicht fleissig missbraucht wird in Zukunft. Ein gefälschter Ausweis zur Anmeldung ist wohl auch nicht gerade eine Hürde.

 

[MacEvangelist]

@Martin: Auch wenn Du dich explizit auf deine Quelle beziehst ist der Hinweis mit der Lebensgefahr reißerisch. Wenn man im Journalistischen EINES gelernt hat, dann, dass Seriösität nicht mit RTL (Rammeln Töten Lallen) zu tun hat, und selbst wenn diese inhaltliche Aussage zutrifft man nicht unbedingt den Namen im Klartext, sowie den Aufenthaltsort in der Welt breittritt......

Blame me for it, ich habe lange genug im journalistischen Bereich gearbeitet!

LG, die Eva

 

[Martin Wendel]

Es wurde kein Name des Opfers im Klartext genannt. Und die Info mit der Lebensgefahr kann sehr wohl in der distanzierten Art und Weise, wie ich es geschrieben habe, stehen bleiben.

Sagt mal, ist heute Redakteurs-Bashing-Day? Dann trage ich mir das im Kalender ein, damit es dann im nächsten Jahr an dem Tag keine News gibt.

 

[Ragnir]

Lass Dich nicht verapplen Martin, Du könntest "Freibier!!!" schreien und irgend jemand würde spontan ein Essay zur moralischen Fragwürdigkeit der Förderung von Alkoholgenuss posten. Ist einfach ein Naturgesetz, nichts persönliches.