Ein Applet erkennt das Betriebssystem und lädt den passenden Angriff herunter.
Ein Applet erkennt das Betriebssystem und lädt den passenden Angriff herunter. (Bild: Symantec)

Fusion Kriminelle kombinieren Schadcode für Windows und Mac

Der Erfolg des Flashback-Trojaners ist offenbar für andere Kriminelle ein Grund, ihr Feld zu erweitern. Eine lange von Apple vernachlässigte Java-Sicherheitslücke nutzt Maljava nicht nur auf Windows-Rechnern, sondern auch auf Macs aus. Angriffe auf Linux verlaufen aber ins Leere.

Anzeige

Maljava ist ein Trojaner, der plattformübergreifend arbeitet. Er macht sich den Vor- und Nachteil der plattformübergreifenden Java-Laufzeitumgebung zu eigen und nutzt das mangelnde Risikobewusstsein vieler Java-Nutzer aus, die ihre Software nicht aktualisieren.

Dank der Plattformunabhängigkeit kann sich Maljava, wie schon Flashback und viele andere Schadsoftware, die bekannte Java-Sicherheitslücke CVE-2012-0507 zunutze machen, die Oracle im Februar und Apple Anfang April gepatcht haben. Dabei wird ein Java-Applet sowohl auf Macs als auch auf Windows-Maschinen ausgeführt. Dieses erkennt den Maschinentyp und lädt einen Dropper herunter. Auf Macs ist das eine Python-Datei, auf Windows-Rechnern eine Exe-Datei. Diese installiert dann eine Backdoor, um den Rechner nach außen zu öffnen. Auch hier gibt es unterschiedlichen Code. Während sich die Windows-Schadsoftware als vermeintlich systemkritische ntshrui.dll tarnt, ist die Mac-Variante mit update.py benannt.

  • Prinzipieller Angriffsverlauf des Maljava-Trojaners (Bild: Symantec)
Prinzipieller Angriffsverlauf des Maljava-Trojaners (Bild: Symantec)

Prinzipiell werden so übrigens auch Linux-Rechner angegriffen. Laut Symantec wird dann der Mac-Code-Teil ausgeführt, der auf Linux-Rechnern allerdings mangels geschriebenen Codes ins Leere läuft. Es gibt eine zweite Überprüfung: Nach dem Testen auf Windows als Grundlage wird noch überprüft, ob Mac OS X benutzt wird, bevor der Python-Code ausgeführt wird.

Flashback wird weiter verbessert

Derweil gibt es auch Neuigkeiten zum Flashback-Trojaner und sogar eine neue Version. Symantec und Dr. Web sind sich derzeit uneinig über die Infektionsrate. Dr. Web geht von rund 570.000 infizierten Macs aus. Demnach sinkt die Anzahl der Infektionen also, aber nicht so stark, wie Symantec annimmt. Die Firma geht nur noch von rund 200.000 Infektionen aus. Beide nutzen Sinkhole-Server, um direkt das Botnet abzuhören.

Neue Flashback-Variante im Umlauf 

irata 24. Apr 2012

O ja, IBM, Google, Facebook, Amazon.com usw. sind alles kleine Bastel-Buden, die am...

irata 24. Apr 2012

Ja selbst dann müssten es der Milchmädchenrechnung nach doch zumindest tausend mal mehr...

lanG 24. Apr 2012

Tatsumori hat vor einigen Jahren auf der Defcon ja sehr schön gezeigt, wie er...

Fizze 24. Apr 2012

Bei einem Update bleiben immer noch Reste der vorgängigen Version. Ich muss jedesmal mit...

fratze123 24. Apr 2012

das mag sicher einen teil der veralteten java-installationen erklären. ich kann mich...

Kommentieren



Anzeige

  1. Development Tools Software Ingenieur (BSL) (m/w)
    TEXAS INSTRUMENTS Deutschland GmbH, Freising bei München
  2. Linux Senior Entwickler/in
    Robert Bosch Car Multimedia GmbH, Hildesheim
  3. System- und Software-Entwicklungsingenie- ur/-in für Fahrerassistenzsysteme
    Robert Bosch GmbH, Leonberg
  4. IT-Business-Analyst (m/w)
    Zurich Service GmbH, Frankfurt am Main

 

Detailsuche


Hardware-Angebote
  1. Medion Erazer X7835 PCGH-Notebook mit Geforce GTX 980M und Core i7-4710MQ
    1999,00€
  2. PCGH-Supreme-PC GTX980-Edition
    (Core i7-4790K + Geforce GTX 980)
  3. Dell 24-Zoll-Ultra-HD-Monitor
    ab 378,99€

 

Weitere Angebote


Folgen Sie uns
       


  1. Gewinnrückgang

    "Microsoft ist weiterhin im Wandel"

  2. Music Key

    Alles oder nichts für Indie-Musiker bei Youtube

  3. Privatsphäre im Netz

    Open-Source-Projekte sollen 1984 verhindern

  4. The Witcher 3 angespielt

    Geralt und die "Mission Bratpfanne"

  5. Onlinehandel

    Welche Versand-Flatrates sich nicht lohnen

  6. Jessie

    Erster Release Candidate für neuen Debian-Installer

  7. Biicode

    Abhängigkeitsverwaltung für C/C++ soll Open Source werden

  8. Mobilfunk

    O2 schaltet LTE-Nutzung für alle Blue-Tarife frei

  9. Broadwell-Mini-PC

    Gigabytes Brix ist noch kompakter als Intels NUC

  10. Cyanogen Inc.

    "Wir versuchen, Google Android wegzunehmen"



Haben wir etwas übersehen?

E-Mail an news@golem.de



Erpressung und Geldwäsche: Polizei kommt bei Cybercrime nicht hinterher
Erpressung und Geldwäsche
Polizei kommt bei Cybercrime nicht hinterher
  1. Malware BSI will Zwangstrennung infizierter Rechner vom Internet
  2. Cybercrime Trotz 300 Cyber-Ermittlern bleibt Aufklärungsquote gleich
  3. Cybercrime HP eröffnet Cyber-Abwehrzentrum in Böblingen

Heimkino-Raumklang von oben: Dolby Atmos klingt gut, Auro 3D klingt besser
Heimkino-Raumklang von oben
Dolby Atmos klingt gut, Auro 3D klingt besser
  1. DTS:X Probe gehört Dolby-Atmos-Konkurrent arbeitet mit Deckenlautsprechern
  2. Surround-Sound Holpriger Start für Blu-ray-Discs mit Dolby Atmos
  3. Interstellar in 70 mm Berliner Zoo Palast schiebt die Digitalprojektoren beiseite

Neues Betriebssystem: Microsoft nennt viele neue Details zu Windows 10
Neues Betriebssystem
Microsoft nennt viele neue Details zu Windows 10
  1. Microsoft Nicht alle Windows-Phone-Smartphones erhalten Windows 10
  2. Surface Hub Microsoft zeigt Konferenzsystem mit Digitizer und Windows 10
  3. Hololens mit Windows Holodeck-Zeitalter mit einer autarken Datenbrille

    •  / 
    Zum Artikel