MACNOTES

Veröffentlicht am  21.01.14, 22:54 Uhr von  Stefan Keller

Gezielte Phishing-Attacken greifen OS X an

Phishing Thema: Phishing

Der Anti-Virus-Entwickler Sophos warnt vor gezielten Phishing-Attacken auf Macs. Die Malware versteckt sich in Spam-Mails von Logistik-Unternehmen.

Im Posteingang landet eine Mail eines Transportunternehmens wie DHL, Royal Mail oder FedEx und informiert darüber, dass eine Sendung nicht zugestellt werden konnte. Man möge einen Link klicken, um an ein Dokument zu kommen, das weitere Informationen beinhaltet. Im aktuellen Fall wird man auf eine scheinbar legitime Seite geleitet, der wahre Link wird jedoch vom Angreifer kontrolliert. Schaut man sich den URL auf einem mobilen Gerät an, wirft der Server einen Fehler. Geht man mit einem Desktop-Browser, der nicht Safari ist, auf den Link, lädt man sich den Trojaner Mal/VBCheMan-C herunter, wie er bei Sophos heißt. Öffnet sich der Link in Safari, lädt man sich ein ZIP-File herunter, das Safari standardmäßig extrahiert und hinterlässt ein “PDF-File” im Downloads-Ordner.

“PDF-File” ist ein Trojaner

In Wahrheit ist das PDF-File allerdings ein Programm, das nur mit einem PDF-Symbol ausgestattet wurde. Beim ersten Aufruf fragt OS X, ob man das Programm ausführen möchte. Die Warnung, dass der Entwickler nicht zertifiziert ist, fehlt, weil das Programm tatsächlich digital signiert ist. Ruft man es dennoch auf, passiert augenscheinlich nichts – nur der Taskmanager offenbart einen neuen laufenden Prozess namens foung. Dieser wird von Sophos als “Robot Malware” kategorisiert und heißt OSX/LaoShu-A.

Auf der Suche nach Daten

Zweck dieser Malware ist es, die Festplatte nach bestimmten Dateien abzusuchen, beispielsweise Office-Dateien (*.doc, *.docx, *.xls usw.) und diese in gepackter Form an einen Server zu senden. Weiterhin ist die Malware in der Lage, neue Dateien herunterzuladen und Shell-Befehle auszuführen. Das Exemplar, das sich Sophos eingefangen hat, war in der Lage, Bildschirmfotos anzufertigen und diese an einen Server zu senden.

Schutz vor der Masche

Um sich den Virus nicht einzufangen, sollte man E-Mails unbedingt auf Plausibilität prüfen, beispielsweise ob der angezeigte Link auch jener ist, der geöffnet werden soll, wenn man darauf klickt. In Mail muss man dazu den Mauszeiger einige Zeit auf dem URL lassen, im Quickinfo wird dann der tatsächliche URL angezeigt. Weiterhin sind echte PDF-Dateien keine Programme, weshalb OS X beim Öffnen auch nicht fragen sollte, ob man das Programm wirklich öffnen will. Da auch “echte” (manipulierte) Office-Dateien im Umlauf sind, die es auf noch nicht gepatchte Sicherheitslücken abgesehen haben, sollte zudem sichergestellt werden, dass alle installierten Programme wie Java oder Office auf dem neusten Stand sind.

 Und wie ist deine Meinung?  Schreib uns einfach!

 6 Kommentar(e) bisher

  •  MacMuc sagte am 22. Januar 2014:

    Jeder der so eine offensichtliche Mail öffnet bzw. den Anhang ist doch selbst schuld. So doof kann doch heute keiner mehr sein darauf reinzufallen?!

    Antworten 
    •  at sagte am 22. Januar 2014:

      Das ist leider nicht richtig. Also diese Meinung basiert auf deiner Erfahrung. Ich teile die mit dir, nur ich kenne die anderen Leute. Ein Verwandter von mir bspw. hat auch studiert und ist Naturwissenschaftler. Er regte sich mal über E-Mails von eBay und PayPal auf, die ich auf den ersten Blick als Fake erkannt hatte. Aber ich kann auch in größeren Maßstäben aus der Lehre an der Hochschule erzählen, dass es super viele Leute gibt, denen die Medienkompetenz abgeht echte von falschen E-Mails zu unterscheiden.

      Antworten 
      •  Chris sagte am 22. Januar 2014:

        Das kann ich nur bestätigen. Selbst in meinem Arbeitsumfeld (Bürotätigkeiten mit Computer) gibt es Kollegen und Kolleginnen die solche Mails nicht unterscheiden können. Und die Anzahl derer überschreitet leider ohne weiteres die 30-50 und mehr Leute…

        Antworten 
  •  Zumo sagte am 22. Januar 2014:

    Etwas detaillierter bitte: “Geht man mit einem Desktop-Browser, der nicht Safari ist, auf den Link, lädt man sich den Trojaner Mal/VBCheMan-C herunter” – wie geht das von statten? “Läd herunter” bedeutet auch nicht zwingend, dass der Schädling aktiviert ist. Handelt es sich um einen Java Schädling? Was, wenn Java deaktiviert ist?

    In einer schnellen Google-Suche habe ich nur ein .EXE-Datei gefunden, diese passt aber nicht zur Überschrift, da sie nicht auf OS X lauffähig ist.

    Eine genauere Erklärung wäre wirklich hilfreich in diesem Artikel!

    Antworten 
    •  at sagte am 22. Januar 2014:

      In den Standardeinstellungen bei Safari werden Dateianhänge geöffnet, wenn sie zu den kompatiblen Dateianhängen gehören. Wenn Safari dein Standardbrowser ist, würde er beim Klick in so einer Mail (von der es nicht nur eine gibt) die Datei öffnen, oder es versuchen. Dann müsstest Du vorher noch dein Okay geben. Als Nutzer merkst du danach aber nichts davon, weil “scheinbar” nichts passiert ist, nachdem du das alles bestätigt hast.

      Und bei anderen Browsern führt ein Klick auf den Link eben auch zum Download der Datei. Nur dann musst Du sie im Finder selbst öffnen. Chrome fragt am Mac nach, ob du eine PDF herunterladen möchtest, da sie gefährlich sein kann, aber auch bei ganz legalen PDF-Dateien. Die Nutzer sind daher vielleicht irgendwann so konditioniert diesen Hinweis zu ignorieren, wenn sie nicht schon selbst die Einstellung geändert haben, PDF immer herunterzuladen, ohne Rückfrage.

      Was die bei Sophos nun herausgefunden haben ist, dass in den letzten Wochen gehäuft solche Fedex, DHL, usf. Mails verschickt wurden mit Anhängen bzw. Links, die Macs angreifen, aber nicht zwingend (nur) in Deutschland.

      In der Regel, oder sagen wir, bis dahin, war es so, dass diese Phishing-Mails im Prinzip für Mac-Nutzer, selbst wenn die sich doof angestellt haben, harmlos waren, weil eben die Anhänge nur für Windows-Nutzer waren und nicht ausgeführt wurden.

      Man sollte also in Zukunft noch vorsichtiger sein.

      Antworten 
    •  Stefan Keller sagte am 22. Januar 2014:

      Der Link unterscheidet anhand der Browserkennung, was passiert. Auf einem mobilen Gerät wird ein Fehler geworfen, bei Chrome, Firefox, Internet Explorer, Opera usw. (Plattform egal) wird eine EXE-Datei zum Download angeboten (Windows-Version der Malware) und Safari bekommt das ZIP-File mit dem Trojaner.

      Da die Mail erzählt, dass man sich ein PDF-File herunterladen soll, ist das Verhalten also konsistent. Safari ist per Default nun so eingestellt, dass “vertrauenswürdige Dateiendungen” geöffnet werden, im Falle eines ZIP-Files wird dieses entpackt. Übrig bleibt das Programm, das mit einem Symbol des Adobe-Readers versehen ist.

      Antworten 

Kommentar verfassen

Werbung
© 2006-2013 MACNOTES.DE. Made with insanely great for all things Mac. Apple.de