SabPub Mac OS X Backdoor: Java Exploits, zielgerichtete Attacken und möglicher APT

Letzte Woche veröffentlichte Apple zwei dringende Updates für Mac OS X, um damit:

  1. die Flashback-Malware zu entfernen, über die wir bereits berichteten.
  2. das Java Browser-Plugin und Java Web Start automatisch zu deaktivieren, und damit auch Java Applets in Browsern wirksam zu blockieren.

Insbesondere der zweite Schritt zeigt die Ernsthaftigkeit des Problems mit der Schwachstelle CVE-2012-0507, die durch Flashback ausgenutzt wird und beinahe 700.000 Nutzer via Drive-by-Malware-Downloads infiziert hat.

Diese Maßnahme war in jedem Fall richtig, denn wir können nun das Auftreten einer weiteren Malware für Mac in freier Wildbahn bestätigen – Backdoor.OSX.SabPub.a, ein Schädling, der über Java-Exploits verbreitet wird.

Bei dieser neuen Bedrohung handelt es sich um einen für OS X maßgeschneiderten Backdoor, der anscheinend für den Einsatz bei zielgerichteten Attacken entwickelt wurde. Nachdem er auf einem infizierten System aktiviert wurde, verbindet er sich in bester C&C-Manier mit einer entfernten Website, um Anweisungen entgegenzunehmen. Der Backdoor ist in der Lage, Screenshots von der aktuellen Sitzung des Anwenders zu erstellen und Befehle auf dem infizierten Rechner auszuführen.

Der Backdoor verbindet sich mit einem entfernten Server, um Arbeitsaufträge entgegenzunehmen

Der Backdoor verbindet sich mit einem entfernten Server, um Arbeitsaufträge entgegenzunehmen

Verschlüsselte C&C-Adresse (“hostname_en”) in dem Backdoor

“Onedumb.com” ist ein kostenloser dynamischer DNS-Service. Interessant ist, dass das C&C unter der IP 199.192.152.* in der Vergangenheit auch in anderen zielgerichteten Attacken eingesetzt wurde (die unter der Bezeichnung „Luckycat“ bekannt sind).

Wenn wir den Zeitstempeln des Java-Droppers Glauben schenken, wurde der Schädling am 16. März 2012 erstellt, also bereits vor fast einem Monat! Der Dropper der Java-Klasse wurde am 12. April an die Website ThreatExpert geschickt.

Wir detektieren das in dem Dropper verwendete Java-Exploit als Exploit.Java.CVE-2012-0507.bf.

Eine der Dropper-Komponenten wurde am 2. April auch an die Multi-Scanner-Website “VirusTotal” gesendet. Seitdem wurde er noch einmal verschickt – in beiden Fällen aus China.

Die Java-Exploits sind Standard, doch sie wurden mit Hilfe von ZelixKlassMaster obfuskiert, einem flexiblen und recht leistungsstarken Java-Obfuscator. Das geschah ganz offensichtlich zu dem Zweck, um die Entdeckung durch Anti-Malware-Produkte zu vermeiden.

Derzeit ist nicht klar, wie sich die Anwender infizieren, doch die geringe Zahl der Infektionen sowie die Backdoor-Funktionalität weisen darauf hin, dass es für zielgerichtete Attacken verwendet wird. In verschiedenen Berichten wird nahegelegt, dass die Attacke via E-Mails durchgeführt wurde, die URL auf zwei Websites enthalten, die in den USA und Deutschland gehostet werden und das Exploit beherbergen.

Der Zeitpunkt der Entdeckung dieses Backdoors ist deswegen interessant, weil im März in verschiedenen Artikeln von pro-tibetanischen zielgerichteten Attacken gegen Nutzer von Mac OS X die Rede war. Die Malware ähnelt dem in diesen Attacken eingesetzten Schädling zwar nicht, dennoch könnte sie Teil derselben oder einer ähnlichen Kampagne gewesen sein.

Ein anderes wichtiges Moment ist die Tatsache, dass der Backdoor mit Debug-Informationen kompiliert wurde, was seine Analyse recht einfach macht. Das könnte ein Hinweis darauf sein, dass er sich noch in der Entwicklungsphase befindet und es sich hierbei nicht um die endgültige Version handelt.

Wir werden diese Malware weiter untersuchen und Sie informieren, sobald es etwas Neues gibt. In der Zwischenzeit könnte Sie dieser Artikel mit 10 einfachen Tipps zur Verbesserung der Sicherheit Ihres Macs interessieren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.