Flashback.C

Trojaner deaktiviert Schutzfunktion unter Mac OS X

Die Sicherheitsfunktion File Quarantine von Mac OS X ist das Ziel eines neuen Trojaners, der so tut, als wäre er ein Installationsprogramm für den Flashplayer. Per Social Engineering wird versucht, den Nutzer zur Aufgabe seiner Sicherheit zu überreden.

Anzeige

Eine neue Trojaner-Variante ist in der Lage, eine Sicherheitsfunktion von Mac OS X für sich unschädlich zu machen. Wie F-Secure berichtet, kann die Schadsoftware mit dem Namen Trojan-Downloader:OSX/Flashback.C das automatische XProtect-Update unterbinden, das auch als File Quarantine bekannt ist. File Quarantine ist Apples eingebaute Schadsoftwareerkennung, die über automatische Aktualisierungen auch neue Versionen von Schadsoftware entdecken kann.

Flashback will offenbar verhindern, dass über ein Sicherheitsupdate die Funktionen des Programms unschädlich gemacht werden. Dazu löscht der Trojaner einige Dateien im System, die für File Quarantine zwingend notwendig sind. Anschließend sind Updates der Liste von Schadsoftware nicht mehr möglich. Die Softwareaktualisierung selbst wird offenbar nicht angegriffen, so dass Apple mit einem regulären Sicherheitsupdate eine Reparatur starten könnte.

Sollte Flashback nicht weitere Sicherheitslücken nutzen, dürfte die Deaktivierung von File Quarantine nicht möglich sein. Wir haben kurz getestet, ob die Dateien einfach entfernbar sind. Mit einem Standardnutzer sind die Dateien nicht löschbar, dazu werden Administratorrechte gebraucht. Selbst ein Administrator muss zur Löschung der Dateien per Hand erst einmal sein Passwort eingeben.

Social Engineering für erfolgreiche Angriffe

Flashback ist trotzdem gefährlich, denn der Trojaner versucht per Social Engineering, den Nutzer davon zu überzeugen, seinen Administratorzugang statt den normalen Standardzugang zu benutzen. Flashback gibt sich als Flashplayer Installer aus. Da der Flashplayer auf neueren Macs fehlt, sind viele Anwender daran interessiert, sich einen Flashplayer zu installieren. Webseiten mit der Intention, dem Nutzer zu schaden, leiten dann nicht auf die Webseite von Adobe, sondern auf eine Webseite mit Flashback.

Wird der Nutzer vom Angreifer zur Kooperation überredet, nützt auch die Trennung zwischen Standardnutzer und Administrator nichts. Auch der echte Flashplayer benötigt für die Installation Administratorrechte.

Apples Sicherheitsfunktion File Quarantine hatte im Juni 2011 viel zu tun, als Apple regelmäßig über Updates die Erkennung der Schadsoftware Mac Defender ermöglichte. Die Autoren des Mac Defender versuchten, sich dem anzupassen und ein Katz-und-Maus-Spiel begann. Auch beim Mac Defender wird Social Engineering als Angriffsmethode genutzt. Die Scareware gaukelt dem Anwender vor, dass er sich mit dem Mac Defender vor Schadsoftware schützen kann.

Vermutlich aufgrund des steigenden Marktanteils der Mac-Plattform wird diese mehr und mehr attraktiv für kriminelle Aktionen. Zudem lernen die Angreifer langsam, wie das System nachhaltig anzugreifen ist. Bisher beschränken sich die Angriffe auf die Methode Social Engineering. Das Ausnutzen gefährlicher Sicherheitslücken ist noch etwas sehr Seltenes und passiert vor allem durch Sicherheitsforscher.

Kommentarübersicht
Re: Nicht der Rede wert, die Burg ist noch sicher
noblomov 22. Okt 2011

...Nein. Windows braucht einen ausreichenden Schutz. Mac OS X kommt ohne aus. Und Linux...

Re: Und wer glaubt, das Unixoide Systeme...
Vollpfosten 20. Okt 2011

Meinte auch nur den Desktop-Bereich. Server sieht die Sache, wie mein Vorposter schon...

Re: Der Mac wird immer attraktiver ... :)
AndyGER 20. Okt 2011

Hmm, ich war es nicht, der über langsame und zugemüllte Macs jammerte ... -.-

Zeit für User 2.0
/mecki78 20. Okt 2011

Ich wette mindestens 25% aller Nutzer würden einem Programm auch dann vollen...

Re: Selbst ein Administrator
JeanClaudeBaktiste 20. Okt 2011

da sind wir uns mal einig.

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Entwickler iOS / Android (m/w)
    Wirecard Technologies GmbH, Aschheim bei München
  2. IT Service Manager/P&I Consultant (m/w) Cash Management
    Siemens AG, München
  3. Support Engineer (m/w) Chromeleon Level 3/4-Support
    Thermo Fisher Scientific | Dionex Softron GmbH, Germering bei München
  4. Online-Mediendesigner / Mediengestalter (m/w) Online / Digital
    Heise Medien Gruppe GmbH & Co. KG, Rostock

 

Detailsuche

Folgen Sie uns
       
Videos
Die neuen Google Maps ausprobiert Die neuen Google Maps ausprobiert
Ticker
  1. Digitimes

    Windows-8-Tablets sollen 8 Prozent des Marktes erreichen

  2. Doc Patch

    Das Grundgesetz wird Open Data

  3. Bibliotheca Augusta

    Bibliothek stellt Buchscans unter Creative-Commons-Lizenz

  4. 802.11ac

    Erster Chipsatz für WLAN mit 1,7 GBit/s

  5. Windenergie

    Google kauft Hersteller von Windkraftwerken

  6. Amazon

    App-Shop für Android als Browser-Version gestartet

  7. Atari

    Rollercoaster Tycoon ab 3,5 Millionen US-Dollar im Angebot

  8. Legale Privatkopien

    "EU-Vorschlag würde freies Kopieren erlauben"

  9. Ausprobiert

    Das neue Google Maps ist beeindruckend schnell

  10. Geforce GTX-780

    Nvidias Titan LE schlägt Radeon HD 7970 für 649 Euro

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Google Chrome
Google: Chrome 27 lädt Webseiten schneller
Google
Chrome 27 lädt Webseiten schneller

Googles Browser Chrome ist in der stabilen Version 27 erschienen. Diese soll Webseiten im Durchschnitt rund 5 Prozent schneller herunterladen. Möglich macht das ein neuer Scheduler.

  1. Browser Offline-Cache für Chrome
  2. Notizzetteldienst Inoffizielles Plugin macht Google Keep nützlicher
  3. Google Chrome bekommt Unterstützung für veraltete Browser
Golem.de
In eigener Sache: Bitte schalte deinen Adblocker aus!
In eigener Sache
Bitte schalte deinen Adblocker aus!

Viele Nutzer betrachten Adblocker als legitime Notwehr gegen die aggressive Werbung im Netz. Für Websites wie Golem.de ist das ein großes Problem. Am Ende verlieren alle. Suche nach Auswegen aus dem Dilemma.

  1. In eigener Sache Golem.de und das Leistungsschutzrecht
Kickstarter
Heavy Gear Assault: Mech-Action auf Basis der Unreal Engine 4
Heavy Gear Assault
Mech-Action auf Basis der Unreal Engine 4

Schon länger arbeitet das Entwicklerstudio Stompy Bot an einer Neuauflage von Heavy Gear als Computerspiel. Jetzt kann die Community das Projekt unterstützen: Via Kickstarter sollen mindestens 800.000 US-Dollar zusammenkommen.

  1. Helios Fahrradlenker mit Blinker, Licht und GPS
  2. Energy Hook 1-Dollar-Kampagne auf Kickstarter erfolgreich
  3. Keyprop Schlüsselbund stützt Smartphone beim Filmegucken
Forumsbeiträge »
  1. Samsung 10 Millionen Galaxy S4 in weniger als einem Monat verkauft

    Re: Unsere täglichen Samsung News gebe uns heute

    George99 | 20:55

  2. Doc Patch Das Grundgesetz wird Open Data

    Re: Sinn?

    Apple_und_ein_i | 20:55

  3. Ausprobiert Das neue Google Maps ist beeindruckend schnell

    Re: Nein Danke

    volkskamera | 20:52

  4. Ausprobiert Das neue Google Maps ist beeindruckend schnell

    Re: Schnell ja...aber auch aktuell?

    gollumm | 20:52

  5. Digitimes Windows-8-Tablets sollen 8 Prozent des Marktes erreichen

    Re: Verstehe die Tabletmanie nicht wirklich

    Veccctor | 20:51

Ticker »
  1. Digitimes Windows-8-Tablets sollen 8 Prozent des Marktes erreichen

    19:04

  2. Doc Patch Das Grundgesetz wird Open Data

    18:57

  3. Bibliotheca Augusta Bibliothek stellt Buchscans unter Creative-Commons-Lizenz

    18:20

  4. 802.11ac Erster Chipsatz für WLAN mit 1,7 GBit/s

    18:13

  5. Windenergie Google kauft Hersteller von Windkraftwerken

    16:57

  6. Amazon App-Shop für Android als Browser-Version gestartet

    16:51

  7. Atari Rollercoaster Tycoon ab 3,5 Millionen US-Dollar im Angebot

    16:11

  8. Legale Privatkopien "EU-Vorschlag würde freies Kopieren erlauben"

    15:29

Zum Artikel