• IT-Karriere:
  • Services:

Flashback.C

Trojaner deaktiviert Schutzfunktion unter Mac OS X

Die Sicherheitsfunktion File Quarantine von Mac OS X ist das Ziel eines neuen Trojaners, der so tut, als wäre er ein Installationsprogramm für den Flashplayer. Per Social Engineering wird versucht, den Nutzer zur Aufgabe seiner Sicherheit zu überreden.

Artikel veröffentlicht am ,
Trojaner gibt sich als Flashplayer aus.
Trojaner gibt sich als Flashplayer aus. (Bild: F-Secure)

Eine neue Trojaner-Variante ist in der Lage, eine Sicherheitsfunktion von Mac OS X für sich unschädlich zu machen. Wie F-Secure berichtet, kann die Schadsoftware mit dem Namen Trojan-Downloader:OSX/Flashback.C das automatische XProtect-Update unterbinden, das auch als File Quarantine bekannt ist. File Quarantine ist Apples eingebaute Schadsoftwareerkennung, die über automatische Aktualisierungen auch neue Versionen von Schadsoftware entdecken kann.

Stellenmarkt
  1. BARMER, Wuppertal
  2. Psychiatrisches Zentrum Nordbaden, Wiesloch

Flashback will offenbar verhindern, dass über ein Sicherheitsupdate die Funktionen des Programms unschädlich gemacht werden. Dazu löscht der Trojaner einige Dateien im System, die für File Quarantine zwingend notwendig sind. Anschließend sind Updates der Liste von Schadsoftware nicht mehr möglich. Die Softwareaktualisierung selbst wird offenbar nicht angegriffen, so dass Apple mit einem regulären Sicherheitsupdate eine Reparatur starten könnte.

Sollte Flashback nicht weitere Sicherheitslücken nutzen, dürfte die Deaktivierung von File Quarantine nicht möglich sein. Wir haben kurz getestet, ob die Dateien einfach entfernbar sind. Mit einem Standardnutzer sind die Dateien nicht löschbar, dazu werden Administratorrechte gebraucht. Selbst ein Administrator muss zur Löschung der Dateien per Hand erst einmal sein Passwort eingeben.

Social Engineering für erfolgreiche Angriffe

Flashback ist trotzdem gefährlich, denn der Trojaner versucht per Social Engineering, den Nutzer davon zu überzeugen, seinen Administratorzugang statt den normalen Standardzugang zu benutzen. Flashback gibt sich als Flashplayer Installer aus. Da der Flashplayer auf neueren Macs fehlt, sind viele Anwender daran interessiert, sich einen Flashplayer zu installieren. Webseiten mit der Intention, dem Nutzer zu schaden, leiten dann nicht auf die Webseite von Adobe, sondern auf eine Webseite mit Flashback.

Wird der Nutzer vom Angreifer zur Kooperation überredet, nützt auch die Trennung zwischen Standardnutzer und Administrator nichts. Auch der echte Flashplayer benötigt für die Installation Administratorrechte.

Apples Sicherheitsfunktion File Quarantine hatte im Juni 2011 viel zu tun, als Apple regelmäßig über Updates die Erkennung der Schadsoftware Mac Defender ermöglichte. Die Autoren des Mac Defender versuchten, sich dem anzupassen und ein Katz-und-Maus-Spiel begann. Auch beim Mac Defender wird Social Engineering als Angriffsmethode genutzt. Die Scareware gaukelt dem Anwender vor, dass er sich mit dem Mac Defender vor Schadsoftware schützen kann.

Vermutlich aufgrund des steigenden Marktanteils der Mac-Plattform wird diese mehr und mehr attraktiv für kriminelle Aktionen. Zudem lernen die Angreifer langsam, wie das System nachhaltig anzugreifen ist. Bisher beschränken sich die Angriffe auf die Methode Social Engineering. Das Ausnutzen gefährlicher Sicherheitslücken ist noch etwas sehr Seltenes und passiert vor allem durch Sicherheitsforscher.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. (u. a. Yu-Gi-Oh! Legacy of the Duelist für 7,20€, Yu-Gi-Oh! ARC-V: ARC League Championship für...
  2. (u. a. Anno 2205 Ultimate Edition für 11,99€, Rayman Legends für 4,99€, The Crew 2 - Gold...
  3. 19,49€

noblomov 22. Okt 2011

...Nein. Windows braucht einen ausreichenden Schutz. Mac OS X kommt ohne aus. Und Linux...

Vollpfosten 20. Okt 2011

Meinte auch nur den Desktop-Bereich. Server sieht die Sache, wie mein Vorposter schon...

AndyGER 20. Okt 2011

Hmm, ich war es nicht, der über langsame und zugemüllte Macs jammerte ... -.-

/mecki78 20. Okt 2011

Ich wette mindestens 25% aller Nutzer würden einem Programm auch dann vollen...

JeanClaudeBaktiste 20. Okt 2011

da sind wir uns mal einig.


Folgen Sie uns
       


Sprachsteuerung mit Apple Music im Vergleich

Eigentlich sollen smarte Lautsprecher den Musikkonsum auf Zuruf besonders bequem machen - aber das gelingt oftmals nicht. Überraschenderweise spielen Siri, Google Assistant und Alexa bei gleichen Sprachbefehlen andere Sachen, obwohl alle auf Apple Music zugreifen.

Sprachsteuerung mit Apple Music im Vergleich Video aufrufen
Whatsapp, Signal, Telegram: Regierung fordert Nutzerverifizierung bei Messengern
Whatsapp, Signal, Telegram
Regierung fordert Nutzerverifizierung bei Messengern

Ebenfalls auf der Wunschliste des Innenministeriums: Provider sollen für Staatstrojaner Datenströme umleiten und Ermittlern Zugang zu Servern erlauben.
Ein Bericht von Friedhelm Greis

  1. Großbritannien Datenleck bei Kindergarten-Überwachungskameras
  2. Überwachungsgesamtrechnung "Weiter im Überwachungsnebel waten"
  3. Überwachung Bundesrat stimmt gegen Bestandsdatenauskunft

Logitech vs. Cherry: Leise klackert es im Büro (oder auch nicht)
Logitech vs. Cherry
Leise klackert es im Büro (oder auch nicht)

Tastaturen für die Büroarbeit brauchen keine Beleuchtung - gut tippen muss man auf ihnen können. Glücklich wird man sowohl mit der Logitech K835 TKL als auch mit der Cherry Stream Desktop.
Ein Test von Tobias Költzsch

  1. SPC Gear Mechanische TKL-Tastatur mit RGB kostet 55 Euro
  2. Launch Neue Details zur Open-Source-Tastatur von System76
  3. Youtube Elektroschock-Tastatur bestraft schlampiges Tippen

AOC Agon AG493UCX im Test: Breit und breit macht ultrabreit
AOC Agon AG493UCX im Test
Breit und breit macht ultrabreit

Der AOC Agon AG493UCX deckt die Fläche zweier 16:9-Monitore in einem Gerät ab. Dafür braucht es allerdings auch ähnlich viel Platz.
Ein Test von Mike Wobker

  1. Agon AG493UCX AOC verkauft 49-Zoll-Ultrawide-Monitor mit USB-C und 120 Hz

    •  /