Neue Malware OSX – Keydnap für Macs stiehlt Passwörter

WurmApfelSicherheitsanbieter Eset warnt vor einer neuen Malware für Apples Betriebssystem OS X. Die Malware richtet eine permanente Hintertür ein und stiehlt den Inhalt des Passwortspeichers Keychain zu stehlen. Verteilt wird Die Schadsoftware mit der Bezeichnung OSX/Keydnap über Zip-Archive.

Das Archiv nutzt unverdächtige Dateiendungen wie .txt für Textdateien oder .jpg für Bilder. Allerdings weist die Dateiendung ein Leerzeichen am Ende auf, was dazu führt, daß sie mit der App Terminal geöffnet wird und nicht mit der Bildvorschau oder dem Texteditor. Weil das Archiv auch Icons für ,jpg- und .txt-Dateien enthält, kann man auch am Dateisymbol nicht erkennen, dass es sich um Schadsoftware handeln könnte.

Der Doppelklick auf die ungefährliche daherkommenden Bild- oder Testdatei öffnet ein Terminal-Fenster und führt dann den Schadcode aus. Das passiert allerdings nur, wenn die Sicherheitsfunktion Gatekeeper nicht aktiviert ist. Ansonsten erkennt diese, dass die ausführbare Datei nicht von Apple signiert ist und verhindert deshalb die Installation des Schädlings.

Ohne aktiven Gatekeeper wird aber im Hintergrund die Backdoor „icloudsyncd“ heruntergeladen und gestartet. Die fügt dann einen Eintrag zum Verzeichnis „LaunchAgents“ hinzu – was die Hintertür dann auch nach einem Neustart des Systems aktiv macht. Danach stellt die Backdoor eine Verbindung über das Anonymisierungsnetzwerk Tor zu einem Befehlsserver her, berichtet Computerworld.

Die Malware wartet dann, bis der Nutzer ein anderes Programm startet und blendet dann sofort ein Fenster ein, dass nach den Anmeldedaten fragt. Es sieht so aus, als würde das gerade vom Nutzer geöffnete Programm Root-Rechte einfordern.

Hat der Schädling erst mal Root-Rechte, wird über den Befehlsserver auch das Teilprogramm heruntergeladen, die den Inhalt von Keychain stiehlt. Es soll sich um Proof-of-Concept-Code für eine Schwachstelle in Keychain handeln, der schon als Open Source auf GitHub veröffentlicht wurde.

Er gestattet es, den Speicherinhalt des Systemdiensts securityd auszulesen, der den Schlüssel für Keychain enthält. So bekommen die Angreifer Zugriff auf alle in Keychain gespeicherten Anmeldedaten.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter News, Programmierung, Sicherheit, Wirtschaft abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.