News

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

Am Mittwoch fingen wir eine neue APT-Kampagne unter Verwendung einer neuen Backdoor-Variante für MacOS X ab, die sich gegen uigurische Aktivisten richtete.

Doch bevor ich näher darauf eingehe, zunächst ein kleines Rätsel:

– Der Dalai Lama geht in einen Apple Store. Warum?

Eine mögliche Antwort lautet, “um sich eins der neuen MacBook Pros mit Retina Display zu kaufen“ (wo ich gerade davon spreche – ich selbst würde mir auch gern so eins kaufen, doch es ist nicht ganz einfach diese Entnahme aus dem Familienbudget zu rechtfertigen…).

Spaß beiseite – der Dalai Lama ist bekannt als Mac User. Hier ein Foto von ihm, wie er einen Mac während einer Videokonferenz benutzt:

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

Und hier ein besseres Foto von ihm, auf dem er an einem 17” MacBook Pro arbeitet:

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

Vermutlich ist es nicht überraschend, dass wir eine Zunahme von APT-Attacken gegen so prominente Mac-User zu verzeichnen haben.

Am 27 Juni konnten wir eine neue Welle von APT-Attacken abfangen, die sich gegen bestimmte uigurische Mac-Anwender richtete.

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

An die E-Mails ist eine ZIP-Datei angehängt. In der ZIP-Datei befinden sich ein JPG-Foto und eine MacOS X-App:

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

Bei der Anwendung handelt es sich tatsächlich um eine neue, meist unentdeckte Version des MaControl-Backdoors (Universal Binary), der sowohl i386 als auch PowerPC Macs unterstützt. Wir detektieren diesen Schädling als “Backdoor.OSX.MaControl.b”.

MD5 ( “matiriyal.app/Contents/MacOS/iCnat” ): e88027e4bfc69b9d29caef6bae0238e8
Wird er ausgeführt, installiert sich das Schadprogramm im System und verbindet sich mit dem C&C-Server, um von dort Anweisungen entgegenzunehmen. Der Backdoor ermöglicht es seinem Betreiber, Dateien aufzulisten, Dateien zu verschieben und ganz allgemein Befehle auf dem infizierten Rechner auszuführen.

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

Wie gewöhnlich enthalten einige der Kommentare und Debug-Informationen – obgleich sie auf Englisch sind – häufige Fehler:
– “Recieve” anstatt “Receive”
– “os verison” anstatt “os version”
– “memery” anstatt “memory”
– Etc…

Der Backdoor ist recht flexibel – seine Command and Control-Server sind in einem Konfigurationsblock gespeichert, der ans Ende der Datei gehängt wurde und der 0x214 Bytes groß ist. Der Konfigurationsblock ist mit einer simplen “substract 8”-Operation obfuskiert.

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

Ist er entschlüsselt, kann die Adresse des C&C-Servers als 61.178.77.* mit Standort in China gelesen werden:

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

Mit der wachsenden Popularität von Macs, insbesondere auch unter Prominenten, erwarten wir eine Zunahme von APT-Attacken gegen MacOS X. In früheren Attacken wurden MS Office-Exploits verwendet (Exploit.MSWord.CVE-2009-0563.a.); bei der hier beschriebenen Attacke wird der User durch Social-Engineering-Methoden dazu gebracht, den Backdoor auszuführen. Wie auch bei PC-Malware, ist eine Kombination aus Exploits und Social-Engineering-Tricks im Allgemeinen am effektivsten, daher würde uns eine baldige Zunahme derartiger Attacken nicht überraschen.

Update [30. Juni 2012]: AlienVault hat eine Beschreibung des Windows-Gegenstücks zu dem in dieser Attacke verwendeten Backdoor gepostet. Die Analyse finden Sie hier.

Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach