+43 699 / 18199463
office@itexperst.at

Backdoor mit gültiger Apple-ID entdeckt

Auf dem Laptop eines angolanischen Aktivisten, welcher an der „Human Rights Conference“ teilnahm, wurde ein getarntes Schadprogramm entdeckt, welches über eine gültige Apple-Entwickler-ID verfügte.

Die Backdoor, welche darauf programmiert war, Screenshots zu machen und diese an einen Server zu senden, welcher unter Kontrolle des Angreifers stand, wurde mit Hilfe einer Spear-Sphishing E-Mail auf den Mac Laptop aufgespielt. Dabei handelt es sich um E-Mails, die sehr zielgerichtet an einen Empfänger gesendet werden, als Betreff den Namen des Opfers tragen und vorgeben, von einem Freund zu stammen. In der E-Mail werden üblicherweise Themen angesprochen, über die die beiden im Vorfeld diskutiert haben, und anschließend wird der ahnungslose Empfänger dazu aufgefordert, einen Anhang herunter zu laden. Dieser Anhang ist in der Regel eine für den Empfänger in der Tat nützliche Datei, welche jedoch mit einer Schadsoftware ausgestattet ist. So fällt der Schwindel häufig gar nicht und in den aller meisten Fällen zu spät auf.

Die Infizierung fiel erst während eines Workshops auf, in dem es um effektiven Schutz vor der Überwachung durch Regierungen ging.

Die OS X Version „Mountain Lion“ verfügt über ein sogenanntes Gatekepper-System, welches schädliche Software aufspüren und eliminieren soll, doch durch die gültige Apple-Entwickler-ID, gelang es der Schadsoftware, dieses zu umgehen.

Die meisten Antivirus-Experten haben ein solches Vorgehen noch nie erlebt und es ist eines der ersten Male, dass ein solch fortgeschrittener Angriff entdeckt wurde.

Die Schadsoftware gehört nicht zu den bekannten Trojanern und Viren, die derzeit kursieren, und es scheint naheliegend, dass sie extra für diesen Angriff programmiert wurden. Er wurde auf den Namen OSX/KitM.A getauft. Die IT-Sicherheitsfirma Intego sagte, dass es sich hierbei um eine Modifizierung des Trojaners OSX/FileSteal handelt.

Mittlerweile wurde die Apple-Entwickler-ID gelöscht und der Server, welcher unter Kontrolle der Angreifer stand, wurde unschädlich gemacht.

Einige Details, wie der Code des Trojaners, und einige Links, welche in der Phishing-E-Mail vorkamen, wurden bereits veröffentlicht und wahrscheinlich werden auch weitere Informationen zum Vorschein kommen, doch muss das Opfer vorher seine Zustimmung erteilen.

Bislang ist unklar, wer hinter dem Angriff steht, doch da dieser sehr versiert und aufwändig war, scheint er von einer finanziell gut gestellten Institution oder Regierung ausgegangen zu sein.

Artikel von arstechnica.com, 17.05.2013: Mac malware signed with Apple ID infects activist’s laptop
Artikel von theregister.co.uk, 17.05.2013: Mac malware found with valid developer ID at freedom conference

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen