Das Threat Labs-Team von Jamf hat ein neues Sicherheitsrisiko identifiziert, das es Unbefugten potenziell ermöglicht, Zugriff auf das Endgerät des Nutzers zu erhalten. Dabei handelt es sich um eine ausführbare Datei, die der Malware ZuRu ähnelt und die in einer Reihe an raubkopierten macOS-Anwendungen versteckt ist.
Diese raubkopierten Anwendungen werden Nutzern auf verschiedenen, in China gehosteten Raubkopie-Webseiten zum Download angeboten.
Wie funktioniert diese spezifische Hintertür?
Die versteckte, ausführbare Datei wird zusammen mit dem Start der raubkopierten Anwendung ausgeführt und stellt im Hintergrund eine Verbindung mit dem System des Angreifers her. Die Datei nutzt den Namen eines betriebssystemeigenen Prozesses und wird zumindest von der Viren- und Malware-Datenbank VirusTotal nicht als schädlicher Prozess erkannt.
Die Datei, mit der Angreifer sich Zugang zu einem System bzw. Endgerät verschaffen können, verfügt über mehrere Eigenschaften, die denen der 2021 von Objective-See und Trend Micro identifizierten Malware ZuRu ähneln. ZuRu wurde ebenfalls in raubkopierten Anwendungen entdeckt, darunter iTerm, SecureCRT, Navicat Premium und dem Microsoft Remote Desktop Client. Bei der Ausführung dieser Anwendungen stellte ZuRu im Hintergrund eine Verbindung zu einem Angreifer-Server her, auf dem es sensible Daten aus dem angegriffenen System oder Endgerät hochlud.
Wer ist betroffen?
Das Team der Threat Labs von Jamf konnte insgesamte drei raubkopierte Anwendungen identifizieren, die diese versteckte, ausführbare Datei enthalten. Alle drei wurden auf einer chinesischen Website gehostet, auf der Nutzer Links zu raubkopierter Software finden können. Ähnlich zur 2021 identifizierten Malware ZuRu scheinen auch bei der neuen Malware primär chinesische Nutzer das Ziel der Angreifer zu sein, genau wie die Angreifer selbst: Verbindungen, die von der Malware zum Angreifer hergestellt werden, beziehen sich ebenfalls auf chinesische IP-Adressen.
Grundsätzlich ist jedoch jeder Nutzer, der eine entsprechende, raubkopierte Anwendung herunterlädt und ausführt ein potenzielles Opfer dieser neuen Malware. Eine besondere Schwierigkeit beim Schutz von Nutzern besteht in diesem Zusammenhang darin, dass Nutzer, die raubkopierte Software verwenden, bereits damit rechnen, dass diese Software von Sicherheits-Tools als Risiko eingestuft werden. Dementsprechend werden Sicherheitswarnungen in diesen Situationen von den Nutzern oft bewusst ignoriert.
Weitere Informationen:
Eine ausführliche technische Analyse der neu entdeckten Malware finden Sie auf dem Blog von Jamf.
www.jamf.com/de