Anzeige
Trojaner gibt sich als Flashplayer aus.
Trojaner gibt sich als Flashplayer aus. (Bild: F-Secure)

Flashback.C

Trojaner deaktiviert Schutzfunktion unter Mac OS X

Die Sicherheitsfunktion File Quarantine von Mac OS X ist das Ziel eines neuen Trojaners, der so tut, als wäre er ein Installationsprogramm für den Flashplayer. Per Social Engineering wird versucht, den Nutzer zur Aufgabe seiner Sicherheit zu überreden.

Anzeige

Eine neue Trojaner-Variante ist in der Lage, eine Sicherheitsfunktion von Mac OS X für sich unschädlich zu machen. Wie F-Secure berichtet, kann die Schadsoftware mit dem Namen Trojan-Downloader:OSX/Flashback.C das automatische XProtect-Update unterbinden, das auch als File Quarantine bekannt ist. File Quarantine ist Apples eingebaute Schadsoftwareerkennung, die über automatische Aktualisierungen auch neue Versionen von Schadsoftware entdecken kann.

Flashback will offenbar verhindern, dass über ein Sicherheitsupdate die Funktionen des Programms unschädlich gemacht werden. Dazu löscht der Trojaner einige Dateien im System, die für File Quarantine zwingend notwendig sind. Anschließend sind Updates der Liste von Schadsoftware nicht mehr möglich. Die Softwareaktualisierung selbst wird offenbar nicht angegriffen, so dass Apple mit einem regulären Sicherheitsupdate eine Reparatur starten könnte.

Sollte Flashback nicht weitere Sicherheitslücken nutzen, dürfte die Deaktivierung von File Quarantine nicht möglich sein. Wir haben kurz getestet, ob die Dateien einfach entfernbar sind. Mit einem Standardnutzer sind die Dateien nicht löschbar, dazu werden Administratorrechte gebraucht. Selbst ein Administrator muss zur Löschung der Dateien per Hand erst einmal sein Passwort eingeben.

Social Engineering für erfolgreiche Angriffe

Flashback ist trotzdem gefährlich, denn der Trojaner versucht per Social Engineering, den Nutzer davon zu überzeugen, seinen Administratorzugang statt den normalen Standardzugang zu benutzen. Flashback gibt sich als Flashplayer Installer aus. Da der Flashplayer auf neueren Macs fehlt, sind viele Anwender daran interessiert, sich einen Flashplayer zu installieren. Webseiten mit der Intention, dem Nutzer zu schaden, leiten dann nicht auf die Webseite von Adobe, sondern auf eine Webseite mit Flashback.

Wird der Nutzer vom Angreifer zur Kooperation überredet, nützt auch die Trennung zwischen Standardnutzer und Administrator nichts. Auch der echte Flashplayer benötigt für die Installation Administratorrechte.

Apples Sicherheitsfunktion File Quarantine hatte im Juni 2011 viel zu tun, als Apple regelmäßig über Updates die Erkennung der Schadsoftware Mac Defender ermöglichte. Die Autoren des Mac Defender versuchten, sich dem anzupassen und ein Katz-und-Maus-Spiel begann. Auch beim Mac Defender wird Social Engineering als Angriffsmethode genutzt. Die Scareware gaukelt dem Anwender vor, dass er sich mit dem Mac Defender vor Schadsoftware schützen kann.

Vermutlich aufgrund des steigenden Marktanteils der Mac-Plattform wird diese mehr und mehr attraktiv für kriminelle Aktionen. Zudem lernen die Angreifer langsam, wie das System nachhaltig anzugreifen ist. Bisher beschränken sich die Angriffe auf die Methode Social Engineering. Das Ausnutzen gefährlicher Sicherheitslücken ist noch etwas sehr Seltenes und passiert vor allem durch Sicherheitsforscher.


eye home zur Startseite
noblomov 22. Okt 2011

...Nein. Windows braucht einen ausreichenden Schutz. Mac OS X kommt ohne aus. Und Linux...

Vollpfosten 20. Okt 2011

Meinte auch nur den Desktop-Bereich. Server sieht die Sache, wie mein Vorposter schon...

AndyGER 20. Okt 2011

Hmm, ich war es nicht, der über langsame und zugemüllte Macs jammerte ... -.-

/mecki78 20. Okt 2011

Ich wette mindestens 25% aller Nutzer würden einem Programm auch dann vollen...

JeanClaudeBaktiste 20. Okt 2011

da sind wir uns mal einig.

Kommentieren



Anzeige

  1. IT-Berater (m/w)
    cimt AG, Frankfurt
  2. Web Developer (m/w)
    Sevenval Technologies GmbH, Berlin
  3. IT Consultant Hybris Marketing (m/w)
    Robert Bosch GmbH, Stuttgart-Feuerbach
  4. Big Data Spezialist (m/w)
    TenneT TSO GmbH, Bayreuth

Detailsuche



Anzeige
Spiele-Angebote
  1. Overwatch - Origins Edition [PC]
    54,99€
  2. VORBESTELLBAR: DEUS EX: MANKIND DIVIDED - Collector's Edition (PC/PS4/Xbox One)
    119,00€/129,00€ (Vorbesteller-Preisgarantie)
  3. VORBESTELLBAR: Gran Turismo Sport - Steel Book Edition [PlayStation 4]
    79,99€ (Vorbesteller-Preisgarantie)

Weitere Angebote


Folgen Sie uns
       


  1. Kernel

    Linux 4.7-rc1 unterstützt AMDs Polaris

  2. Fehler in Blogsystem

    200.000 Zugangsdaten von SZ-Magazin kopiert

  3. Aufräumen von Prozessen beim Logout

    Systemd-Neuerung sorgt für Nutzerkontroversen

  4. Overwatch im Test

    Superhelden ohne Sammelsucht

  5. Mobilfunk

    Wirtschaftssenatorin will 5G-Testbed in Berlin durchsetzen

  6. Streit der Tech-Milliardäre

    Ebay-Gründer unterstützt Gawker im Streit mit Hulk Hogan

  7. Siri-Lautsprecher

    Apple setzt auf Horch und Guck

  8. Soylent-Flüssignahrung

    Die Freiheit, nicht ans Essen zu denken

  9. Fraunhofer IPMS

    Multispektralkamera benötigt nur ein Objektiv

  10. Transformer 3 (Pro)

    Asus zeigt Detachables mit Kaby Lake



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Googles Neuvorstellungen: Alles nur geklaut?
Googles Neuvorstellungen
Alles nur geklaut?
  1. Google I/O Android Auto wird eine eigenständige App
  2. Jacquard und Soli Google bringt smarte Jacke und verbessert Radar-Chip
  3. Modulares Smartphone Project Ara soll 2017 kommen - nur noch teilweise modular

Cloudready im Test: Ein altes Gerät günstig zum Chromebook machen
Cloudready im Test
Ein altes Gerät günstig zum Chromebook machen
  1. Chrome OS Android-Apps kommen auf Chromebooks
  2. Acer-Portfolio 2016 Vom 200-Hz-Curved-Display bis zum 15-Watt-passiv-Detachable

Unternehmens-IT: Von Kabelsalat und längst überfälligen Upgrades
Unternehmens-IT
Von Kabelsalat und längst überfälligen Upgrades
  1. Sprachassistent Voßhoff will nicht mit Siri sprechen
  2. LizardFS Software-defined Storage, wie es sein soll
  3. HPE Hyper Converged 380 Kleines System für das schnelle Erstellen von VMs

  1. Soylent und co..

    Fox85 | 16:31

  2. Re: Zukünftige Nervtötereien cholerischer Buchhalter

    M.P. | 16:30

  3. Re: Wann wird autonomes Fahren endlich zur Pflicht?

    derdiedas | 16:30

  4. Re: Ich bin froh über jeden Blitzer

    kendon | 16:29

  5. Re: Ein Hoch auf die Umwelt...

    bofhl | 16:28


  1. 16:29

  2. 15:57

  3. 15:15

  4. 14:00

  5. 13:28

  6. 13:08

  7. 12:54

  8. 12:02


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel