Mac-Schädling OSX.Pirrit zeigt Werbung an – vorerst

Forscher haben eine auf Mac OS X ausgerichtete Variante des bekannten Windows-Schädlings Pirrit gefunden, der auf einem infizierten Rechner einen Proxy-Server erstellt und Werbung in Webseiten einschleust. Das Bostoner Unternehmen Cybereason Labs taufte diese Adware-Spielart auf den Namen OSX.Pirrit. Zum gegenwärtigen Zeitpunkt beschränkt sich ihre Funktion auf das Anzeigen von Werbebannern, obgleich eine Analyse gezeigt hat, dass dieser Schädling durchaus zu weit mehr in der Lage ist.

„Der aktuelle OSX.Pirrit stellt keine ernsthafte Bedrohung dar“, erklärte der Entdecker der Adware, Amit Serper, leitender Experte bei Cybereason für den Schutz von Mac OS X und Linux, gegenüber Threatpost. „Doch die, die hinter OSX.Pirrit stecken, können sich im Prinzip vollständigen Zugriff auf ein Zielsystem verschaffen.“

„Anstelle Werbe-Spam zu zeigen, könnten sie ebenso gut und ohne Mehraufwand persönliche Daten oder Know-How eines Arbeitgebers stehlen“, schreibt Serper auf der Website des Unternehmens. „Oder sie könnten einen Keylogger installieren, um Anmeldedaten für den Zugriff auf Bankkonten zu stehlen.“

Die analysierten Samples von OSX.Pirrit waren in einem gefakten Updates für Adobe Flash versteckt oder in eine Raubkopie von Microsoft Office 2016 und Adobe Photoshop CC eingebaut. Cybereason hat ein Shell-Skript zum Entfernen des Schädlings veröffentlicht, damit technische Experten dieses Tool im Falle einer Infektion verwenden können.

„Der einzige Weg, die Anwesenheit des Schädlings festzustellen, besteht (außer in dem Auftauchen unerwünschter Werbung) darin, die Liste der laufenden Prozesse durchzugehen“, erläutert Serper. „Aktuell gibt es nicht viele Infektionen, doch wir beobachten eine Zunahme der Pirrit-Varianten für Mac OS.“

Normalerweise umfasst eine solche Infektion das Anzeigen von Pop-Up-Fenstern oder von Pop-Under-Werbung, in die Seiten einer Website eingeschleuster Banner oder Seiten mit Hyperlinks unter bestimmten Wörtern. Eins der Werbenetze, das mit diesen schädlichen Operationen in Verbindung gebracht wird, wurde als das polnische Netz Red Sky identifiziert. Auf die Bitte von Threatpost um einen Kommentar reagierten die Betreiber nicht.

„Diese Adware greift Windows schon seit geraumer Zeit an, doch auf Mac-Computern sehen wir sie zum ersten Mal“, bemerkte Serper. „Die AV-Lösungen begannen vor ein paar Tagen, sie zu erkennen.“

LautMicrosoft wurde der Werbeschädling Win32/Pirrit erstmals im September 2014 entdeckt, und er wird zumeist zusammen mit kostenloser Software ausgeliefert. Die Pirrit-Version für OSX ist nach Aussage von Cybereason wesentlich „schädlicher“ als sein Windows-Vorgänger, da „OSX.Pirrit die Kontrolle über die Maschine abfängt, die Windows-Version dagegen nur Werbung anzeigt.“

„OSX.Pirrit verwendet keine Exploits, um Macs zu kompromittieren“, schreibt Serper weiter. „Er dringt mittels simpler Social Engineering-Tricks in den Computer ein, indem der Nutzer dazu gebracht wird, seine Registrierungsdaten zur Installation eines gefälschten Updates, einzugeben, beispielsweise für Flash.“

Die von Cybereason gefundene Version OSX.Pirrit wurde mit einem gültigen Apple-Zertifikat signiert, damit ihre Installation nicht den in OS X integrierten Schutz auf den Plan ruft. Laut Aussage der Experten wurde dieser Schädling mit Hilfe des Frameworks Qt entwickelt, das heißt, „er wurde vermutlich von einem Linux-Kenner geschrieben, der nur wenig Ahnung von der Entwicklung auf OS X hat.“

„Auch wenn es aufgrund des Mangels an Schadsoftware für Mac OS X auch an Untersuchungsmaterial mangelt, bedeutet das nicht, dass Apple-Computer vor Infektionen gefeit sind“, schließt Serper seinen Bericht.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.