Abo
  • Services:
Anzeige
Trojaner gibt sich als Flashplayer aus.
Trojaner gibt sich als Flashplayer aus. (Bild: F-Secure)

Flashback.C

Trojaner deaktiviert Schutzfunktion unter Mac OS X

Trojaner gibt sich als Flashplayer aus.
Trojaner gibt sich als Flashplayer aus. (Bild: F-Secure)

Die Sicherheitsfunktion File Quarantine von Mac OS X ist das Ziel eines neuen Trojaners, der so tut, als wäre er ein Installationsprogramm für den Flashplayer. Per Social Engineering wird versucht, den Nutzer zur Aufgabe seiner Sicherheit zu überreden.

Eine neue Trojaner-Variante ist in der Lage, eine Sicherheitsfunktion von Mac OS X für sich unschädlich zu machen. Wie F-Secure berichtet, kann die Schadsoftware mit dem Namen Trojan-Downloader:OSX/Flashback.C das automatische XProtect-Update unterbinden, das auch als File Quarantine bekannt ist. File Quarantine ist Apples eingebaute Schadsoftwareerkennung, die über automatische Aktualisierungen auch neue Versionen von Schadsoftware entdecken kann.

Anzeige

Flashback will offenbar verhindern, dass über ein Sicherheitsupdate die Funktionen des Programms unschädlich gemacht werden. Dazu löscht der Trojaner einige Dateien im System, die für File Quarantine zwingend notwendig sind. Anschließend sind Updates der Liste von Schadsoftware nicht mehr möglich. Die Softwareaktualisierung selbst wird offenbar nicht angegriffen, so dass Apple mit einem regulären Sicherheitsupdate eine Reparatur starten könnte.

Sollte Flashback nicht weitere Sicherheitslücken nutzen, dürfte die Deaktivierung von File Quarantine nicht möglich sein. Wir haben kurz getestet, ob die Dateien einfach entfernbar sind. Mit einem Standardnutzer sind die Dateien nicht löschbar, dazu werden Administratorrechte gebraucht. Selbst ein Administrator muss zur Löschung der Dateien per Hand erst einmal sein Passwort eingeben.

Social Engineering für erfolgreiche Angriffe

Flashback ist trotzdem gefährlich, denn der Trojaner versucht per Social Engineering, den Nutzer davon zu überzeugen, seinen Administratorzugang statt den normalen Standardzugang zu benutzen. Flashback gibt sich als Flashplayer Installer aus. Da der Flashplayer auf neueren Macs fehlt, sind viele Anwender daran interessiert, sich einen Flashplayer zu installieren. Webseiten mit der Intention, dem Nutzer zu schaden, leiten dann nicht auf die Webseite von Adobe, sondern auf eine Webseite mit Flashback.

Wird der Nutzer vom Angreifer zur Kooperation überredet, nützt auch die Trennung zwischen Standardnutzer und Administrator nichts. Auch der echte Flashplayer benötigt für die Installation Administratorrechte.

Apples Sicherheitsfunktion File Quarantine hatte im Juni 2011 viel zu tun, als Apple regelmäßig über Updates die Erkennung der Schadsoftware Mac Defender ermöglichte. Die Autoren des Mac Defender versuchten, sich dem anzupassen und ein Katz-und-Maus-Spiel begann. Auch beim Mac Defender wird Social Engineering als Angriffsmethode genutzt. Die Scareware gaukelt dem Anwender vor, dass er sich mit dem Mac Defender vor Schadsoftware schützen kann.

Vermutlich aufgrund des steigenden Marktanteils der Mac-Plattform wird diese mehr und mehr attraktiv für kriminelle Aktionen. Zudem lernen die Angreifer langsam, wie das System nachhaltig anzugreifen ist. Bisher beschränken sich die Angriffe auf die Methode Social Engineering. Das Ausnutzen gefährlicher Sicherheitslücken ist noch etwas sehr Seltenes und passiert vor allem durch Sicherheitsforscher.


eye home zur Startseite
noblomov 22. Okt 2011

...Nein. Windows braucht einen ausreichenden Schutz. Mac OS X kommt ohne aus. Und Linux...

Vollpfosten 20. Okt 2011

Meinte auch nur den Desktop-Bereich. Server sieht die Sache, wie mein Vorposter schon...

AndyGER 20. Okt 2011

Hmm, ich war es nicht, der über langsame und zugemüllte Macs jammerte ... -.-

/mecki78 20. Okt 2011

Ich wette mindestens 25% aller Nutzer würden einem Programm auch dann vollen...

JeanClaudeBaktiste 20. Okt 2011

da sind wir uns mal einig.



Anzeige

Stellenmarkt
  1. Deutsche Telekom AG, Leipzig
  2. Myra, München
  3. Trivadis GmbH, Düsseldorf
  4. gkv informatik, Wuppertal, Teltow


Anzeige
Blu-ray-Angebote
  1. 21,99€ (Vorbesteller-Preisgarantie)
  2. 9,99€
  3. 36,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  3. Mehr dazu im aktuellen Whitepaper von Bitdefender


  1. Mesuit

    Chinesischer Hersteller bietet Android-Hülle für iPhones an

  2. Pokémon Go

    Pikachu versus Bundeswehr

  3. Smartphones

    Erste Chips mit 10-nm-Technik sind bei den Herstellern

  4. Nintendo

    Wii U findet kaum noch Käufer

  5. BKA-Statistik

    Darknet und Dunkelfelder helfen Cyberkriminellen

  6. Ticwatch 2

    Android-Wear-kompatible Smartwatch in 10 Minuten finanziert

  7. Hardware und Software

    Facebook legt 360-Grad-Kamera offen

  8. Licht

    Osram verkauft sein LED-Geschäft nach China

  9. Micro Machines im Kurztest

    Die Minis rasen zur Kasse

  10. E-Bus-Linie 204

    BVG testet offenes WLAN in Bussen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nuki Smart Lock im Test: Ausgesperrt statt aufgesperrt
Nuki Smart Lock im Test
Ausgesperrt statt aufgesperrt

Xiaomi Mi Band 2 im Hands on: Fitness-Preisbrecher mit Hack-App
Xiaomi Mi Band 2 im Hands on
Fitness-Preisbrecher mit Hack-App
  1. Xiaomi Hugo Barra verkündet Premium-Smartphone
  2. Redmi 3S Xiaomis neues Smartphone kostet umgerechnet 95 Euro
  3. Mi Band 2 Xiaomis neues Fitness-Armband mit Pulsmesser kostet 20 Euro

Amoklauf in München: De Maizière reanimiert Killerspiel-Debatte
Amoklauf in München
De Maizière reanimiert Killerspiel-Debatte

  1. Re: Noch nie

    Trockenobst | 17:26

  2. Abgesicherter Boot Prozess

    jose.ramirez | 17:25

  3. Re: Feine Teile, aber Tastatur?

    Birnbaum | 17:24

  4. Re: NX - Abwarten und Tee trinken

    Spiritogre | 17:24

  5. Re: NEIN DANKE!

    DetlevCM | 17:23


  1. 16:32

  2. 16:13

  3. 15:54

  4. 15:31

  5. 15:14

  6. 14:56

  7. 14:37

  8. 14:12


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel