News

Mac-Schädling OSX.Pirrit zeigt Werbung an – vorerst

Forscher haben eine auf Mac OS X ausgerichtete Variante des bekannten Windows-Schädlings Pirrit gefunden, der auf einem infizierten Rechner einen Proxy-Server erstellt und Werbung in Webseiten einschleust. Das Bostoner Unternehmen Cybereason Labs taufte diese Adware-Spielart auf den Namen OSX.Pirrit. Zum gegenwärtigen Zeitpunkt beschränkt sich ihre Funktion auf das Anzeigen von Werbebannern, obgleich eine Analyse gezeigt hat, dass dieser Schädling durchaus zu weit mehr in der Lage ist.

„Der aktuelle OSX.Pirrit stellt keine ernsthafte Bedrohung dar“, erklärte der Entdecker der Adware, Amit Serper, leitender Experte bei Cybereason für den Schutz von Mac OS X und Linux, gegenüber Threatpost. „Doch die, die hinter OSX.Pirrit stecken, können sich im Prinzip vollständigen Zugriff auf ein Zielsystem verschaffen.“

„Anstelle Werbe-Spam zu zeigen, könnten sie ebenso gut und ohne Mehraufwand persönliche Daten oder Know-How eines Arbeitgebers stehlen“, schreibt Serper auf der Website des Unternehmens. „Oder sie könnten einen Keylogger installieren, um Anmeldedaten für den Zugriff auf Bankkonten zu stehlen.“

Die analysierten Samples von OSX.Pirrit waren in einem gefakten Updates für Adobe Flash versteckt oder in eine Raubkopie von Microsoft Office 2016 und Adobe Photoshop CC eingebaut. Cybereason hat ein Shell-Skript zum Entfernen des Schädlings veröffentlicht, damit technische Experten dieses Tool im Falle einer Infektion verwenden können.

„Der einzige Weg, die Anwesenheit des Schädlings festzustellen, besteht (außer in dem Auftauchen unerwünschter Werbung) darin, die Liste der laufenden Prozesse durchzugehen“, erläutert Serper. „Aktuell gibt es nicht viele Infektionen, doch wir beobachten eine Zunahme der Pirrit-Varianten für Mac OS.“

Normalerweise umfasst eine solche Infektion das Anzeigen von Pop-Up-Fenstern oder von Pop-Under-Werbung, in die Seiten einer Website eingeschleuster Banner oder Seiten mit Hyperlinks unter bestimmten Wörtern. Eins der Werbenetze, das mit diesen schädlichen Operationen in Verbindung gebracht wird, wurde als das polnische Netz Red Sky identifiziert. Auf die Bitte von Threatpost um einen Kommentar reagierten die Betreiber nicht.

„Diese Adware greift Windows schon seit geraumer Zeit an, doch auf Mac-Computern sehen wir sie zum ersten Mal“, bemerkte Serper. „Die AV-Lösungen begannen vor ein paar Tagen, sie zu erkennen.“

LautMicrosoft wurde der Werbeschädling Win32/Pirrit erstmals im September 2014 entdeckt, und er wird zumeist zusammen mit kostenloser Software ausgeliefert. Die Pirrit-Version für OSX ist nach Aussage von Cybereason wesentlich „schädlicher“ als sein Windows-Vorgänger, da „OSX.Pirrit die Kontrolle über die Maschine abfängt, die Windows-Version dagegen nur Werbung anzeigt.“

„OSX.Pirrit verwendet keine Exploits, um Macs zu kompromittieren“, schreibt Serper weiter. „Er dringt mittels simpler Social Engineering-Tricks in den Computer ein, indem der Nutzer dazu gebracht wird, seine Registrierungsdaten zur Installation eines gefälschten Updates, einzugeben, beispielsweise für Flash.“

Die von Cybereason gefundene Version OSX.Pirrit wurde mit einem gültigen Apple-Zertifikat signiert, damit ihre Installation nicht den in OS X integrierten Schutz auf den Plan ruft. Laut Aussage der Experten wurde dieser Schädling mit Hilfe des Frameworks Qt entwickelt, das heißt, „er wurde vermutlich von einem Linux-Kenner geschrieben, der nur wenig Ahnung von der Entwicklung auf OS X hat.“

„Auch wenn es aufgrund des Mangels an Schadsoftware für Mac OS X auch an Untersuchungsmaterial mangelt, bedeutet das nicht, dass Apple-Computer vor Infektionen gefeit sind“, schließt Serper seinen Bericht.

Quelle: Threatpost

Mac-Schädling OSX.Pirrit zeigt Werbung an – vorerst

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach