Mac-Virus tarnt sich als Freeware


Viren für Apple OS X sind verhältnismäßig selten, doch es gibt sie. Die neu identifizierte Malware OSX/Eleanor-A geht besonders raffiniert vor, um sich Zugriff auf einen Computer zu verschaffen: Der Trojaner tarnt sich unter dem Namen EasyDoc Converter als Freeware zum Konvertieren von Windows- in Mac-Formate und tauchte in den vergangenen Tagen auf verschiedenen Download-Portalen auf.
Üblicherweise sind Mac-User vor solcher Malware geschützt. OS X erlaubt in der Voreinstellung lediglich das Ausführen von Programmen, die aus dem Mac App Store heruntergeladen wurden und sich über einen privaten Schlüssel einem registrierten Entwickler zuordnen lassen. Doch viele Anwender schalten diesen Schutz ab, um auch Software aus anderen Quellen benutzen zu können. Und es wurden auch schon Fälle bekannt, in denen der Schlüssel eines Entwicklers gestohlen wurde und einige Tage im Netz kursierte, bis Apple den Missbrauch bemerkte und den Account sperrte.

EasyDoc Converter lässt sich einfach installieren. Nach dem Klick auf sein Icon öffnet das Programm ein kleines Fenster, in das man die zu konvertierenden Dateien hineinziehen soll. Doch anschließend passiert nichts. Die meisten Benutzer werden das Tool daraufhin vermutlich wieder löschen und ein anderes Konvertierprogramm ausprobieren.

Kommunikation über das Tor-Netzwerk
Doch dann ist es schon passiert. OSX/Eleanor-A hat im Hintergrund einen neuen Ordner angelegt und ihm einen Namen mit einem Punkt am Anfang gegeben, was ihn unsichtbar macht. Er bleibt auch nach der Deinstallation von EasyDoc Converter bestehen. In diesem Ordner installiert die Malware drei Programme und Skripte. Um sie sicher und unbemerkt starten zu können, werden sie als LaunchAgents gekennzeichnet. Diese Agents sind vergleichbar den Diensten in Windows und werden beim Einloggen des Anwenders automatisch ausgeführt.
Das erste Tool ist ein Tor-Client, der eine Verbindung zum Anonymisierungs-Netzwerk Tor herstellt. Gleichzeitig übermittelt er den verschlüsselten Namen eines Tor Hidden Service ins Dark Web. Den Public Key, der zum Entschlüsseln benötigt wird, schickt ein weiteres Programm an einen Pastebin-Account. Auf Pastebin können Texte einfach im Web veröffentlicht und über eine URL erreicht werden. Den Namen des Hidden Services, der durch einen Zufallsgenerator erzeugt wird und bei jedem befallenen Computer anders lautet, benötigen die Kriminellen für den Zugriff auf die Daten.

Bei dem dritten Programm handelt es sich um ein PHP-Skript. OS X verwendet PHP als standardmäßige Skriptsprache, so dass die Ausführung kein Problem darstellt. Dieses Skript öffnet den Zugang zu dem Rechner. Zudem wird der Tor Hidden Service mit dem Skript verbunden, so dass im Effekt jede Person, die den Namen des Service kennt, über das Tor-Netzwerk auf den Rechner zugreifen kann. Dort erwartet den Eindringling die PHP-Admin-Shell, über die er Zugriff unter anderem auf einen Datei- und einen Prozess-Manager sowie auf ein Terminal-Fenster hat.

Zudem installiert der Virus drei kleine Standard-Tools. Mit Netcat, auch als nc bekannt, lassen sich Dateien über ein Netzwerk transportieren. Wacaw ist ein Kommandozeilen-Programm, um mit einer Webcam Bilder und Videos aufzuzeichnen. Es ist allerdings veraltet und funktioniert unter den neueren Versionen von OS X nicht mehr. Über den Tor-Zugang zu dem befallenen Computer kann der Hacker allerdings beliebige andere Software als Ersatz installieren. Das dritte Tool ist ein PHP-basierter Bildbetrachter, über den vermutlich die mit Wacaw geschossenen Fotos gesichtet werden sollen.

Ob ein Computer mit OSX/Eleanor-A befallen ist, kann der Benutzer normalweise nicht erkennen. Der Virus tarnt sich sehr effektiv, er lässt sich nur mit einer gezielten Suche finden. Schutz bieten die Sicherheitsfunktionen des Mac OS X, die möglichst nicht verändert werden sollten. Außerdem wird die Malware auch von Antiviren-Programmen für den Mac erkannt und beseitigt.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (0)

Skip to main content