malware, macos
malware, macos
Bildquelle: securelist.com

Proxy-Trojaner für macOS verbirgt sich in gecrackter Software

Kaspersky Labs entdeckte einen komplexen Proxy-Trojaner für macOS, der sich in Cracks versteckt. Das läuft über das PKG-Installationsprogramm.

Den Proxy-Trojaner verbargen Unbekannte in raubkopierten Versionen kommerzieller Software. Interessanterweise fanden die Sicherheitsexperten von Kaspersky Lab auch mehrere Bestandteile, die man bereits für Android- und Windows-Plattformen entwickelt hat. Diese Versionen fungieren ebenfalls als Proxy-Trojaner und werden zusammen mit entsprechenden Raubkopien verbreitet.

Da die Software für Apple-Geräte zumeist teurer ist, sind derartige Cracks bei den Nutzern recht beliebt. Wie man sieht, beinhalten sie aber auch ihre Schattenseiten.

Proxy-Trojaner tarnt sich als PKG-Installation

Der entdeckte Proxy-Trojaner tarnt sich während der Installation als legitimes Programm. Sobald er in das System eines Nutzers eingedrungen ist, richtet er heimlich einen verdeckten Proxyserver ein. Dieser ermöglicht es den Hackern, den Netzwerkverkehr über das kompromittierte Gerät umzuleiten. Der Trojaner verbreitet sich über PKG-Installationsprogramme, wodurch er vor und nach der Installation des Cracks aktiv sein kann. Bei der Installation werden bekanntlich auch Skripte ausgeführt, dabei wird auch der Proxy-Trojaner als Beiwerk auf macOS-Geräten installiert.

proxy-trojaner
Quellcode des Proxy-Trojaners.

Cyberkriminelle können Gerät aus der Ferne steuern

Die Analysen von Kaspersky zeigen, dass der Trojaner das Protokoll DNS-over-HTTPS (DoH) innerhalb der WindowServer-Datei verwendet und so die Kommunikation mit dem Command and Control (C&C)-Server verbirgt. Das Protokoll schützt DNS-Abfragen und erhöht seine Fähigkeiten im Verborgenen zu agieren. Darüber hinaus stellt der Trojaner über das WebSocket-Protokoll eine Verbindung zum C&C-Server her. Durch die Verwendung von WebSocket kann der Trojaner Befehle in Echtzeit von den Bedrohungsakteuren empfangen, sich so an veränderte Umstände anpassen und so eine Erkennung effektiver entgehen.

Schadsoftware hat sich gut versteckt

Sergey Puzan, Sicherheitsexperte bei Kaspersky, kommentiert den kürzlich entdeckten macOS-Proxy-Trojaner wie folgt:

„Seit jeher haben es Cyberkriminelle auf Anwender abgesehen, die auf der Suche nach kostenloser Software sind und versehen raubkopierte Software mit Schadprogrammen. Unsere neue Entdeckung zeigt erneut, welche Bedrohung von gecrackter Software ausgeht – insbesondere wenn man bedenkt, dass der Proxy-Trojaner über eine ausgefeilte Fähigkeit verfügt, seine Aktivitäten zu verbergen.

Um sich vor Trojanern zu schützen, sollten macOS-Nutzer auf eine robuste Sicherheitssoftware setzen und Software nur aus offiziellen Quellen herunterladen. Und sie sollten insbesondere die Nutzung von gecrackter Software vermeiden.“

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.