Mughthesec: Adware mit Apple-Entwicklerzertifikat auf Mac-Geräten unterwegs
Fiese Falle: Eine signierte Schadsoftware namens „Mughthesec“ macht Mac-Geräte unsicher. Das dazugehörige Apple-Entwicklerzertifikat hebelt die Erkennung von Malware gewissermaßen aus.
Eigentlich verhindert die in macOS integrierte Schutzfunktion namens Gatekeeper die Installation von Malware auf Mac-Geräten recht zuverlässig. Hin und wieder kommt es jedoch trotzdem vor, dass Schadsoftware unbemerkt bzw. unerkannt installiert wird. Auf einen solchen Fall ist jüngst der Sicherheitsexperte Patrick Wardle gestoßen. Seine Beobachtungen und Erkenntnisse zu der Malware Mughthesec hat er auf Objective-See.com bekanntgemacht.
Tarnung als Flash Player, Adware inklusive
Zusammengefasst lässt sich das Ganze so darstellen: Mughthesec tarnt sich bei der Installation als Flash Player, der als Teil eines Pakets auch tatsächlich installiert wird. Lässt man bei der Installation jedoch nicht die gebotene Vorsicht walten, so kommen auch gleich noch mehrere Adware-Programme hinzu, nämlich Advanced Mac Cleaner, Booking.com und Safe Finder.
Während die Hotel-Suchmaschine Booking.com vielleicht nur nervig, aber nicht gefährlich ist, hat der Advanced Mac Cleaner schon die unangenehme Eigenschaft, dem Nutzer irgendwelche Probleme (issues) vorzugaukeln, die das System des Nutzers belasten und sich mit der kostenpflichtigen Kaufversion lösen lassen sollen.
Noch schlimmer ist indes die mitinstallierte Safe Finder Malware. Diese manipuliert Apples Safari-Browser, indem eine neue Startseite gesetzt wird und Suchergebnisse mit sogenannten Affiliate-Links verseucht werden. Sogar auf seriösen Webseiten können aufgrund der Schadsoftware Werbeanzeigen geschaltet sein, die (wenn man sie anklickt) weitere Probleme nach sich ziehen könnten.
Fazit des Sicherheitsexperten Patrick Wardle
Die Mughthesec Malware weist mit ihrer Funktionsweise deutliche Parallelen zu anderen schädlichen Programmen auf, in dem Zusammenhang wird z.B. die OperatorMac Adware genannt. Sie ist nicht sonderlich ausgeklügelt und wird nur aufgespielt, wenn man im Installationsprozess nicht aufmerksam genug ist. Nichtsdestotrotz sorgt erst die Signatur in Form eines Apple-Entwicklerzertifikats dafür, dass die Malware nach der Installation nicht direkt erkannt wird. Es ist aber damit zu rechnen, dass Apple relativ kurzfristig auf das Problem reagieren und das Zertifikat zurückziehen wird.
Wer sich noch genauer mit dem Thema auseinandersetzen will (oder muss), der sollte sich den Mughthesec-Beitrag bei Objective-see.com anschauen.
via heise und objective-see