Mughthesec: Signierte Mac-Malware im Umlauf


Mughthesec: Signierte Mac-Malware im Umlauf


Leo Becker


(Bild: Screenshot: Patrick Wardle)

Mit einem Apple-Entwicklerzertifikat wiegt der Schädling die in macOS integrierte Schutzfunktion in Sicherheit und spielt mehrere Adware-Tools ein, die unter anderem den Browser manipulieren.

Die auf Mac-Nutzer abzielende Schadsoftware “Mughthesec” wird bislang nicht von Antiviren-Tools erkannt – und ist durch ein Apple-Entwicklerzertifikat signiert, das zum Zeitpunkt der Analyse noch aktiv war, wie der Sicherheitsforscher Patrick Wardle ausführt. Die Signatur sorgt dafür, dass die in macOS integrierte Schutzfunktion Gatekeeper bei der Installation der Malware nicht anschlägt – Apple zieht die Zertifikate, die in jüngster Zeit wieder verstärkt für den Vertrieb von Schad-Software zum Einsatz zu kommen scheinen, gewöhnlich relativ schnell zurück. Wardle hat ein Sample des Schädlings von einem betroffenen Nutzer erhalten und näher studiert.

Beliebte Tarnung als Flash-Installer

Mugthesec bedient sich eines gängigen Weges, um Nutzer zur freiwilligen Installation zu locken: Die Malware tarnt sich als Flash-Player, der tatsächlich mit ausgeliefert wird. Der Installer weist sogar darauf hin, dass mehrere Adware-Tools eingespielt werden, merkt Wardle an – das dürften viele Nutzer aber überlesen. Klickt man auf “Weiter” landet “Advanced Mac Cleaner”, Safe Finder und Booking.com auf dem Mac. Advanced Mac Cleaner gaukelt verschiedene Probleme vor, die sich durch den Kauf der Software lösen lassen sollen.

Manipulation von Suchanfragen in Safari

Mit Safe Finder wird zudem der Browser manipuliert, führt der Sicherheitsforscher weiter aus: Mughthesec setzt eine neue Homepage und manipuliert Suchergebnisse mit eigenen Affiliate-Links. Derzeit scheint nur Apples vorinstallierter Browser Safari davon betroffen, dort wird auch eine Extension installiert.

Die Mac-Malware sei nicht sonderlich ausgeklügelt, betont Wardle, doch setzt sie auf eine Signatur, wurde noch nicht von AV-Software erkannt – und infiziert aktiv Mac-Nutzer. Es handele sich dabei wohl um eine neue Variante bereits bekannter Adware, die als SafeFinder/OperatorMac geführt wird.

Betroffene Nutzer können Mugthesec zwar manuell entfernen, wie Wardle anmerkt, doch könnte der Installer auch andere Malware einspielen – am besten sei deshalb wohl eine Neuinstallation von macOS.

Lesen Sie auch:

(lbe)



Diese News stammen aus unserem Partnernetzwerk : https://www.heise.de/mac-and-i/meldung/Mughthesec-Signierte-Mac-Malware-im-Umlauf-3797925.html?wt_mc=rss.apple.beitrag.atom

Originalbild mit freundlicher Genehmigung von heise.de

Ersten Kommentar schreiben

Antworten

auxmoney Partnerprogramm - Deutschlands bestes Partnerprogramm für Kredite