Cyberkriminelle greifen Kryptofirmen mit macOS-Malware an

Juli Rutsch

Am 27.11.2024 - 15:25

Sicherheitsforscher entdecken neue macOS-Malware, die auf Unternehmen im Kryptowährungssektor abzielt. Nordkoreanische Hacker stehen im Verdacht.

Laptop Hände Programmiercode — Sicherheitsforscher warnen auch Mac-User. - Depositphotos

IT-Sicherheitsforscher von Sentinel haben eine neuartige Malware-Kampagne aufgedeckt. Sie schreiben diese der nordkoreanischen Hackergruppe Blue Noroff zu.

Die Angreifer haben es auf Firmen aus dem Kryptowährungssektor abgesehen. «Heise» berichtet, dass die Kriminellen ihre Opfer mit E-Mails ködern.

Diese tarnen sie als Newsletter über Kryptowährungstrends. Als Absender nutzen sie den Namen einer echten Person.

Infizierung in mehreren Stufen

Die Forscher haben die Kampagne «HiddenRisk» getauft, abgeleitet von den Titeln der vermeintlichen PDF-Dateien. Klicken Opfer auf den Link in der Mail, gelangt ein sogenannter Dropper auf ihr System, der weitere Schadsoftware nachlädt.

Plaketen Schriftzug Malware — Malware wird auch zunehmend zur Gefahr für Mac-Nutzer. - Depositphotos

Er ist in Apples Programmiersprache Swift geschrieben. «Heise» erklärt, dass Apple die Signatur des Droppers mittlerweile widerrufen hat, nachdem ursprünglich eine Apple-Developer-ID die Software signiert und notarisiert hatte.

Um die Opfer abzulenken, wird tatsächlich eine PDF heruntergeladen. Im Hintergrund lädt der Dropper jedoch einen weiteren Schadcode aus dem Netz.

Umgehung von Sicherheitsmassnahmen

Die Malware umgeht die App-Transport-Sicherheitsrichtlinie von Apple. Sie sorgt dafür, dass unsichere HTTP-Verbindungen akzeptiert werden.

In einem weiteren Schritt nistet sich der Schadcode unbemerkt ein. Er versteckt sich in einer manipulierten .zshenv-Konfigurationsdatei im Home-Directory.

Die Forscher betonen, dass diese Variante zwar nicht grundsätzlich neu ist. Sie wurde jedoch zuvor noch nicht in realen Angriffen entdeckt.

Weitere Bedrohungen für macOS

Neben dieser gezielten Kampagne gibt es weitere Bedrohungen für macOS-Nutzer. «Jamf» warnt vor einer Kryptojacking-Malware, die in raubkopierten Apps versteckt ist.

Die Sicherheitsforscher entdeckten die Malware in einer modifizierten Version von Apples Final Cut Pro. Zum Zeitpunkt der Entdeckung erkannte kein Sicherheitsanbieter auf VirusTotal die Malware als bösartig.

Roboter virtuelle Leinwand Sicherheitsschloss — Mac-User sollten sich eine Schutzwand aufbauen, um auch die sonst verschonten Mac-Programme zu schützen. - Depositphotos

«Jamf» erklärt, dass Kryptojacking auf macOS zunimmt. Die leistungsstarken ARM-Prozessoren von Apple machen die Geräte zu attraktiven Zielen.

Schutz vor Malware

Apple hat verschiedene Schutzmechanismen in macOS integriert. Laut dem Apple Support umfassen diese den App Store, Gatekeeper, Beglaubigung und XProtect.

Der App Store und Gatekeeper sollen die Verteilung von Schadprogrammen unterbinden. Apple erklärt, dass macOS eine integrierte Antivirustechnologie namens XProtect für die signaturbasierte Erkennung und Entfernung von Schadprogrammen enthalte.