Viele Apple-Benutzer glauben, dass das Betriebssystem macOS so sicher ist, dass ihnen keine Cyberbedrohungen Schaden zufügen können und sie sich daher um den Schutz ihrer Geräte keine Gedanken machen müssen. Dies ist jedoch bei weitem nicht der Fall: Obwohl es für macOS tatsächlich weniger Schadsoftware gibt, ist sie immer noch weitaus häufiger anzutreffen, als Besitzer von Apple-Geräten glauben.
In diesem Beitrag besprechen wir aktuelle Bedrohungen, denen macOS-Benutzer ausgesetzt sind, und wie Sie Ihren Mac effektiv schützen können. Um zu veranschaulichen, dass es Viren für macOS gibt, betrachten wir drei aktuelle Studien zu mehreren Schadsoftware-Familien, die in den letzten Wochen veröffentlicht wurden.
BlueNoroff greift macOS-Benutzer an und entwendet Kryptowährung
Ende Oktober 2023 entdeckten unsere Forscher einen neuen macOS-Trojaner, der mit BlueNoroff in Verbindung stehen soll, dem „kommerziellen Flügel“ der für Nordkorea arbeitenden APT-Gruppe Lazarus. Diese Untergruppe ist auf Angriffe auf Finanzsysteme spezialisiert und konzentriert sich insbesondere auf zwei Dinge: erstens Angriffe auf das SWIFT-System – einschließlich des berüchtigten Raubüberfalls auf die Zentralbank von Bangladesch – und zweitens den Diebstahl von Kryptowährungen von Organisationen und Privatpersonen.
Der neu entdeckte Download-Trojaner in macOS wird über schädliche Archive verteilt. Er tarnt sich als PDF-Dokument mit dem Titel „Krypto-Assets und ihre Risiken für die Finanzstabilität“ mit einem Symbol, das eine Vorschau dieses Dokuments imitiert.
Sobald der Benutzer auf den Trojaner klickt (der sich als PDF ausgibt), wird ein Skript ausgeführt, das das entsprechende PDF-Dokument aus dem Internet herunterlädt und öffnet. Aber das ist natürlich nicht alles, was passiert. Die Hauptaufgabe des Trojaners besteht darin, einen anderen Virus herunterzuladen. Er sammelt Informationen über das infizierte System, sendet diese an C2 und wartet dann auf einen Befehl, um eine von zwei möglichen Aktionen auszuführen: Selbstlöschung oder Speichern in einer Datei und Ausführen eines Schadcodes, der in der Antwort des Servers übermittelt wurde.
Proxy-Trojaner in raubkopierter Software für macOS
Ende November 2023 entdeckten unsere Forscher eine weitere Malware-Instanz, die Mac-Benutzer bedroht – einen Proxy-Trojaner, der zusammen mit der Raubkopie einer Software für macOS verbreitet wird. Insbesondere wurde dieser Trojaner zu den PKG-Dateien geknackter Videobearbeitungsprogramme, Datenwiederherstellungstools, Netzwerk-Dienstprogramme, Dateikonverter und verschiedener anderer Programme hinzugefügt. Die vollständige Liste der von unseren Experten gefundenen infizierten Installationsprogramme finden Sie am Ende des auf Securelist veröffentlichten Berichts.
Wie bereits erwähnt, gehört diese Malware zur Kategorie der Proxy-Trojaner – eine Malware, die auf dem infizierten Computer einen Proxyserver einrichtet und im Wesentlichen einen Host zur Umleitung des Internetverkehrs erstellt. Anschließend können Cyberkriminelle mit solchen infizierten Geräten ein kostenpflichtiges Netzwerk von Proxyservern aufbauen und für Geld an andere Akteure vermieten, die nach solchen Diensten suchen.
Alternativ können die Besitzer des Trojaners die infizierten Computer auch direkt verwenden, um im Namen des Opfers kriminell aktiv zu werden – sei es per Angriff auf Webseiten, Unternehmen oder andere Benutzer oder durch den Kauf von Waffen, Drogen oder anderen illegalen Waren.
Ein Dieb namens Atomic in gefälschten Safari-Browser-Updates
Ebenfalls im November 2023 wurde eine neue schädliche Kampagne zur Verbreitung eines weiteren Trojaners für macOS namens Atomic entdeckt, der zur Kategorie der Diebstahlsoftware gehört. Diese Art von Malware sucht, extrahiert und sendet alle Arten von wertvollen Informationen, die auf dem Computer des Opfers gefunden werden, insbesondere Daten, die in Browsern gespeichert sind, und sendet sie an ihren Ersteller. Anmeldedaten und Passwörter, Bankkartendaten, Krypto-Wallet-Schlüssel und ähnliche sensible Informationen sind für Diebe von besonderem Wert.
Der Trojaner Atomic wurde erstmals im März 2023 entdeckt und beschrieben. Neu ist, dass Angreifer nun gefälschte Updates für die Browser Safari und Chrome verwenden, um den Trojaner Atomic zu verbreiten. Diese Updates werden von schädlichen Seiten heruntergeladen, die den Original-Webseiten von Apple und Google sehr überzeugend nachempfunden sind.
Sobald der Trojaner Atomic auf einem System ausgeführt wird, versucht er die folgenden Informationen vom Computer des Opfers zu stehlen:
- Cookies
- im Browser gespeicherte Anmeldedaten, Passwörter und Bankkartendaten
- Passwörter aus dem macOS-Passwortspeichersystem (Keychain)
- auf der Festplatte gespeicherte Dateien
- gespeicherte Daten von über 50 beliebten Erweiterungen für Kryptowährungen
Zero-Day-Schwachstellen in macOS
Auch wenn Sie keine verdächtigen Dateien herunterladen, möglichst keine Anhänge aus unbekannten Quellen öffnen und ganz allgemein nicht auf verdächtige Dateien klicken, ist dies keine Garantie für Ihre Sicherheit. Es ist wichtig, sich daran zu erinnern, dass jede Software immer Schwachstellen aufweist, die Angreifer ausnutzen können, um ein Gerät zu infizieren, und selbst dafür ist nur geringe oder keine aktive Benutzeraktion erforderlich. Und auch das Betriebssystem macOS ist keine Ausnahme von dieser Regel.
Kürzlich wurden im Safari-Browser zwei Zero-Day-Schwachstellen entdeckt – und laut einer Erklärung von Apple haben Cyberkriminelle sie bereits ausgenutzt, bevor sie entdeckt wurden. Indem Angreifer ihre Opfer einfach auf eine schädliche Webseite locken, können sie die Geräte ohne Zutun des Benutzers infizieren und so die Kontrolle über das Gerät erlangen und Daten von ihm entwenden. Diese Schwachstellen gelten für alle Geräte, die den Browser Safari verwenden, und stellen eine Bedrohung sowohl für iOS/iPadOS-Benutzer als auch für Mac-Besitzer dar.
Dies ist ein häufiges Szenario: Da die Betriebssysteme von Apple viele Komponenten gemeinsam haben, betreffen die Schwachstellen oft nicht nur eines der Betriebssysteme des Unternehmens, sondern alle. Macs werden also durch die Popularität des iPhones in Mitleidenschaft gezogen: iOS-Benutzer sind das primäre Ziel, aber diese Schwachstellen können genauso gut für Angriffe auf macOS genutzt werden.
Im Jahr 2023 wurden insgesamt 19 Zero-Day-Schwachstellen in Apple-Betriebssystemen entdeckt, die bekanntermaßen von Angreifern aktiv ausgenutzt wurden. Von diesen waren 17 macOS-Benutzer betroffen – darunter mehr als ein Dutzend mit dem Status „erhöhtes Risiko“ und einer als kritisch eingestuft.
Andere Bedrohungen und wie Sie Ihren Mac schützen können
Man darf nicht vergessen, dass es zahlreiche Cyberbedrohungen gibt, die nicht vom Betriebssystem abhängen, aber trotzdem nicht weniger gefährlich sind als eine Schadsoftware. Achten Sie insbesondere auf die folgenden Bedrohungen:
- Phishing und gefälschte Webseiten. Die Funktionsweise von Phishing-Mails und -Webseiten ist sowohl für Windows- als auch für Mac-Benutzer dieselbe. Leider sind nicht alle gefälschten E-Mails und Webseiten leicht zu erkennen, sodass selbst erfahrene Benutzer oft dem Risiko ausgesetzt sind, dass ihre Anmeldedaten gestohlen werden.
- Online-Bedrohungen, einschließlich Web-Skimmer. Schadsoftware kann nicht nur das Gerät eines Benutzers infizieren, sondern auch den Server, mit dem es kommuniziert. Beispielsweise hacken Angreifer häufig schlecht geschützte Webseiten, insbesondere Online-Shops, und installieren darauf Web-Skimmer. Diese kleinen Software-Module wurden entwickelt, um von Besuchern eingegebene Bankkartendaten abzufangen und zu stehlen.
- Schädliche Browser-Erweiterungen. Diese kleinen Software-Module werden direkt im Browser installiert und sind in diesem aktiv, was sie vom verwendeten Betriebssystem unabhängig macht. Obwohl sie scheinbar harmlos sind, können Erweiterungen eine Menge: den Inhalt aller besuchten Seiten lesen, vom Benutzer eingegebene Informationen (Passwörter, Kartennummern, Schlüssel zu Krypto-Wallets) abfangen und sogar den angezeigten Seiteninhalt ersetzen.
- Abfangen von Datenverkehr und Man-in-the-Middle- Angriffe (MITM). Die meisten modernen Webseiten verwenden verschlüsselte Verbindungen (HTTPS), aber es kann immer noch vorkommen, dass Sie auf HTTP-Seiten stoßen, auf denen ausgetauschte Daten abgefangen werden können. Cyberkriminelle nutzen diese Möglichkeit, um MITM-Angriffe zu starten, wobei den Benutzern anstelle einer legitimen eine gefälschte oder infizierte Seite angezeigt wird.
Um Ihr Gerät, Ihre Online-Dienstkonten und vor allem die darin enthaltenen wertvollen Informationen zu schützen, ist ein umfassender Schutz sowohl für Mac-Computer als auch für iPhones/iPads von entscheidender Bedeutung. Eine solche Schutzlösung muss in der Lage sein, die gesamte Bandbreite an Bedrohungen abzuwehren – zum Beispiel Lösungen wie unser Kaspersky Premium, deren Wirksamkeit durch zahlreiche Auszeichnungen unabhängiger Testlabors bestätigt wurde.