Das Threat-Labs-Team von Jamf, ein Anbieter für die Verwaltung und den Schutz von Apple-Geräten, hat ein neues Sicherheitsrisiko identifiziert. Dabei handelt es sich um eine Malware, die auf macOS-Betriebssysteme abzielt und Ähnlichkeiten mit von nordkoreanischen Akteuren (DPRK) entwickelter Malware aufweist.
Sie nutzt verschiedene Technologien, darunter Flutter, Go und Python, um macOS-Systeme anzugreifen sowie Verschleierungstaktiken, um Scans zur Erkennung von bösartigem Code zu umgehen.
Flutter-Variante
Flutter ist ein App-Entwickler-Kit von Google für einheitliche, plattformübergreifende Anwendungen. Apps, die mit Flutter erstellt wurden, verfügen über ein App-Layout, das den Code weitgehend verschleiert. Zudem erschwert die Komplexität der Flutter-Architektur die Analyse und Erkennung von Malware erheblich.
Die Flutter-Anwendung tarnt sich als harmlose App (bei einem untersuchten Beispiel handelte es sich um ein Minesweeper-Spiel) und nutzt die komplexe Flutter-Architektur, um Entdeckung zu vermeiden. Bei der Ausführung sendet sie eine Anfrage an eine bekannte DPRK-Domain, um einen zweiten Payload herunterzuladen, der im nächsten Schritt AppleScript-Codes ausführen kann. Über AppleScript können Angreifer unterschiedliche Befehle auf dem infizierten macOS-System ausführen. Das Threat Labs-Team hat zunächst vier infizierte Anwendungen identifiziert, von denen zwei zu einem früheren Zeitpunkt mit einer legitimen Entwicklersignatur signiert waren. Zum Zeitpunkt der Entdeckung hatte Apple diese Signaturen bereits widerrufen.
Golang- und Python-Varianten
Neben der Flutter-Anwendung wurden auch Varianten in den Programmiersprachen Golang und Python entdeckt. Die Golang-Variante funktioniert ähnlich wie die Flutter-Version. Die Python-Variante ist als eigenes App-Bundle mit der Py2App verpackt. Die Malware tarnt sich dabei als funktionale Notepad-Anwendung. Wie genau die Cyberkriminellen die beiden Varianten einsetzen, beschreibt der Blogpost des Threat-Labs-Teams detailliert.
Relevanz und Implikationen
Es ist nicht ungewöhnlich, dass Angreifer Malware in eine Flutter-basierte Anwendung einbetten. Dies ist jedoch das erste Mal, dass das Threat-Labs-Team einen Fall identifizieren konnte, bei dem Angreifer damit gezielt macOS-Geräte angreifen. Noch ist unklar, ob es sich um echte Malware oder um einen Test für neuartige Malware-Attacken handelt.
Das Threat-Labs-Team von Jamf vermutet jedoch, dass es sich bei der Malware um einen Testlauf für einen größeren Angriff handelt. Die verantwortlichen Akteure sind dafür bekannt, sehr überzeugende Social-Engineering-Kampagnen durchzuführen. Es könnte sich hierbei also um einen Versuch handeln, herauszufinden, ob eine ordnungsgemäß signierte App mit bösartigem Code, der in einer Dylib versteckt ist, von Apple genehmigt wird und wie lang diese dann unter dem Radar von Security-Anbietern, die generische, nicht auf OS-Betriebssysteme spezialisierte Lösungen bereitstellen, bleibt.
(vp/Jamf)