Testlauf für einen größeren Angriff?

Neue macOS-Malware: Versteckter Angriff auf Apple-Nutzer entdeckt

Apple, macOS, Malware
Bildquelle: Tada Images / Shutterstock.com

Das Threat-Labs-Team von Jamf, ein Anbieter für die Verwaltung und den Schutz von Apple-Geräten, hat ein neues Sicherheitsrisiko identifiziert. Dabei handelt es sich um eine Malware, die auf macOS-Betriebssysteme abzielt und Ähnlichkeiten mit von nordkoreanischen Akteuren (DPRK) entwickelter Malware aufweist.

Sie nutzt verschiedene Technologien, darunter Flutter, Go und Python, um macOS-Systeme anzugreifen sowie Verschleierungstaktiken, um Scans zur Erkennung von bösartigem Code zu umgehen.

Anzeige

Flutter-Variante

Flutter ist ein App-Entwickler-Kit von Google für einheitliche, plattformübergreifende Anwendungen. Apps, die mit Flutter erstellt wurden, verfügen über ein App-Layout, das den Code weitgehend verschleiert. Zudem erschwert die Komplexität der Flutter-Architektur die Analyse und Erkennung von Malware erheblich.

Die Flutter-Anwendung tarnt sich als harmlose App (bei einem untersuchten Beispiel handelte es sich um ein Minesweeper-Spiel) und nutzt die komplexe Flutter-Architektur, um Entdeckung zu vermeiden. Bei der Ausführung sendet sie eine Anfrage an eine bekannte DPRK-Domain, um einen zweiten Payload herunterzuladen, der im nächsten Schritt AppleScript-Codes ausführen kann. Über AppleScript können Angreifer unterschiedliche Befehle auf dem infizierten macOS-System ausführen. Das Threat Labs-Team hat zunächst vier infizierte Anwendungen identifiziert, von denen zwei zu einem früheren Zeitpunkt mit einer legitimen Entwicklersignatur signiert waren. Zum Zeitpunkt der Entdeckung hatte Apple diese Signaturen bereits widerrufen.

Golang- und Python-Varianten

Neben der Flutter-Anwendung wurden auch Varianten in den Programmiersprachen Golang und Python entdeckt. Die Golang-Variante funktioniert ähnlich wie die Flutter-Version. Die Python-Variante ist als eigenes App-Bundle mit der Py2App verpackt. Die Malware tarnt sich dabei als funktionale Notepad-Anwendung. Wie genau die Cyberkriminellen die beiden Varianten einsetzen, beschreibt der Blogpost des Threat-Labs-Teams detailliert.

Anzeige
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Relevanz und Implikationen

Es ist nicht ungewöhnlich, dass Angreifer Malware in eine Flutter-basierte Anwendung einbetten. Dies ist jedoch das erste Mal, dass das Threat-Labs-Team einen Fall identifizieren konnte, bei dem Angreifer damit gezielt macOS-Geräte angreifen. Noch ist unklar, ob es sich um echte Malware oder um einen Test für neuartige Malware-Attacken handelt.

Das Threat-Labs-Team von Jamf vermutet jedoch, dass es sich bei der Malware um einen Testlauf für einen größeren Angriff handelt. Die verantwortlichen Akteure sind dafür bekannt, sehr überzeugende Social-Engineering-Kampagnen durchzuführen. Es könnte sich hierbei also um einen Versuch handeln, herauszufinden, ob eine ordnungsgemäß signierte App mit bösartigem Code, der in einer Dylib versteckt ist, von Apple genehmigt wird und wie lang diese dann unter dem Radar von Security-Anbietern, die generische, nicht auf OS-Betriebssysteme spezialisierte Lösungen bereitstellen, bleibt.

(vp/Jamf)

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.