Neue Mac-Spyware umgeht Entdeckung durch simplen Trick
Derzeit zieht ein neues Spyware-Schadprogramm für Mac-Systeme durch das Internet: Janicab. Um sich der Entdeckung durch ein Anti-Viren-Programm zu entziehen, nutzt es den sog. right-to-left-override-Trick (RLO). Schon bekannte und bereits existierende Schadprogramme für Windows-Computer nutzen diesen Trick, wie z.B. Bredolab oder Mahdi.
Eigentlich ist der Kniff durchaus simpel. Die ausführenden Dateien der Schadsoftware ändern ihren Dateinamen nicht zu .exe, sondern, um den Anti-Viren-Programmen zu entgehen, tarnen sie sich als Textdokument (.doc oder .txt). Für das den Computer überprüfende Schutzprogramm sieht es somit nicht nach bösartiger Software aus.
Das Ziel des RLO-Tricks ist es einfach, nur die echte Dateiendung zu verstecken. Das hebt der Internetblog F-Secure hervor. Die Schadsoftware verwendet dazu die „RecentNew.pdf.app“. Das Betriebssystem OS X berücksichtigt dies zwar bereits und zeigt die app-Dateiendung an. Es hat sich nur der Name geändert, die Datei bleibt ja weiterhin eine app-Datei. Allerdings untergräbt genau dies das neue Schadprogramm Janicab.
Dieser neuer Virus, eine Python-Variante, ist signiert durch eine Apple-Entwickler-ID. Sie zeichnet sich dadurch aus, dass sie kontinuierlich Screenshots macht, Sound-Dateien aufnimmt und diese an den Server weitergibt. Mit diesem steht sie immer in Kontakt und holt sich darüber auch neue Befehle.
Janicab verbreitet sich hauptsächlich durch Spam-Kampagnen und das sog. „Spearphishing“. Wenn der Nutzer auf die augenscheinlich harmlose Datei klickt und diese damit speichert, wird ein versteckter Ordner erstellt. Dort werden dann die Komponenten des Virus gespeichert.
Der Mac-Gatekeeper weist relativ schnell darauf hin, dass dort problematische Dateien gespeichert sind. Grundsätzlich sollte jeder Nutzer trotzdem Vorsichtsmaßnahmen treffen, wenn er Dokumente von unbekannten Quellen herunterlädt.
Die Bedrohung kann sich nämlich durchaus schnell ausweiten: Das Schadprogramm „Mahdi“ beispielsweise verteilte sich über die israelische Firma „Seculert“, die den Schädling nicht entdeckte und diesen per Mail verteilte. Einmal heruntergeladen ist dieses Schadprogramm in der Lage, die Kommunikation zu protokollieren oder auch Daten zu stehlen. Und das z.B. bei Regierungsagenturen, Finanzinstituten oder Akademien.
Im vergangenen Jahr waren über mehrere Monate tausende Menschen von diesem neuen Auswuchs von Internetkriminalität betroffen.
Artikel von cnet.com, 15.07.2013: New Mac malware disguised with right-to-left encoding trick
Artikel von infosecurity-magazine.com, 15.07.2013: Mac Spyware Hides File Extensions to Evade Detection