06 Aug Neue Malware für Mac

Thunderstrike 2 und DYLD_PRINT_TO_FILE Exploit sind zwei neue Malware-Varianten für OS X. Zu beiden gibt es ein paar interessante Details. blog.malwarebytes.org zeigt hierzu ein nettes Bildchen, dessen Wiedergabe wir uns hier nicht verkneifen können:

Thunderstrike 2

Die Basis der experimentellen Schadsoftware Thunderstrike 2 ist eine Sicherheitslücke, über die Wired.com am 3.8.2015 berichtet hat: zwei Sicherheitsforscher haben die Machbarkeit eines Computerwurms demonstriert, die sich in die Firmware von Thunderbolt Hardware einnistet. Spiegel Online ließ sich schon zur Formulierung Forscher entwickeln fast unzerstörbaren Mac-Wurm hinreißen.

An diesem Wurm sind ein paar Details sehr interessant, die von Wired.com gut dargestellt wurden:

• Thunderstrike 2 ist genau die Sicherheitslücke, die sich die NSA wünscht. Die von Edward Snowden veröffentlichten Dokumente und die Forschungen von Kaspersky Lab zeigten schon früher, dass die NSA Sicherheitslücken in Firmware aktiv nutzt und über manipulierte Hardware vermutlich in der Lage ist, verschiedene Betriebsysteme zu kompromittieren. Nach der Veröffentlichung durch Wired sind bei der NSA nun vermutlich ein paar Leute angepisst. Hoffentlich hält dieser Zustand länger an.
• Der Wurm ist ein Forschungsprojekt – keine grassierende Bedrohung
• OS X ist von Thunderstrike auch deshalb betroffen, weil Apple Standard-Bausteine der Hardwarehersteller nutzt … die wiederum dazu tendieren, für Firmware überall den selben SourceCode einzusetzen
• Thunderstrike 2 verbreitet sich über Thunderbolt-Peripherie und den darin verwendeten option ROM – d.h. Apple-Adapter wie Thunderbolt FireWire Adapter oder Thunderbolt Ethernet Adapter sind das Ziel und könnten zur Verbreitung von manipulierter Firmware genutzt werden

Hier ist schon mal die Vorlage für weitere Piratenlogos

DYLD_PRINT_TO_FILE Exploit

Der „DYLD_PRINT_TO_FILE Exploit“ wurde von Thomas Reed auf Malwarebytes.com gemeldet:

• Die Verbreitung erfolgt über eine von Apple ungepatchte Sicherheitslücke
• Der Exploit erlaubt es Angreifern Software ohne die Passwort-Eingabe des Benutzers zu installieren
• für OS X 10.11 „El Capitan“ wurde ein Patch angekündigt, wir warten gespannt auf den Patch für OS X 10.10 und ältere Systeme
• der gefundene Exploit installiert die AdWare VSearch und eine Variante von Genieo, außerdem die ScareWare MacKeeper. Mit Blick auf den finanziellen Verdienste der Angreifer bedeutet das nichts Anderes, als dass die Autoren der Schadsoftware Geld aus den Afiliate-Programmen der AdWare VSearch, Genieo und der ScareWare MacKeeper holen.

Das ist neu: Malwareautoren scheffeln ihr Geld über einen Afiliate-Account. Zur Erinnerung: Kromtech zahlt an seine Afiliate-Partner bis zu 70% Provision für die Vermittlung einer kostenpflichtigen Lizenz der ScareWare MacKeeper. Was muss denn noch passieren, damit MacKeeper endlich als Mitverursacher solchen Unfugs wahrgenommen wird? Vermutlich kommt zunächst eine Schuldzuweisung von Kromtech an die bösen Malwareautoren, die (natürlich) all diesen Mist ohne Einverständnis des Herstellers tun. So wie Kromtechs Schuldzuweisung für Fake-Virenmeldungen an angeblich durchgeknallte Afiliate-Partner vor einigen Wochen.