Malware attackiert macOS genau so wie alle anderen Betriebssysteme und Endgeräte – und viele Angreifer nehmen sogar inzwischen gezielt Apple-Geräte ins Visier, da sich Apple-Nutzer oft in Sicherheit wiegen. Henrik Nitsche, Security-Experte bei Jamf zeigt auf, wie die Bedrohungslage tatsächlich aussieht und wie sich Apple-nutzende Unternehmen besser schützen können.
Zugegebenermaßen klingt die Behauptung bereits abenteuerlich: „Auf macOS gibt es keine Malware.“ Tatsächlich zeigt jedoch eine Umfrage von Moonlock aus dem Jahr 2023, dass mehr als die Hälfte aller macOS-Nutzer:innen dieser Aussage zumindest teilweise zustimmen oder zögern zu widersprechen. Dabei handelt es sich um eine risikoreiche Fehleinschätzung. Wie der Security 360 Report von Jamf aus dem vergangenen Jahr zeigt, sind aktuell rund 300 verschiedene, auf macOS funktionierende Malware-Varianten im Umlauf – 21 davon wurden erst im Jahr 2023 identifiziert.
Der Apfel als Zielscheibe: Warum macOS-Geräte für Angreifer ein attraktives Ziel sind
Dass Angreifer zunehmend macOS-Endgeräte ins Visier nehmen, ist nicht überraschend, denn die Anzahl der sich im Umlauf befindlichen macOS-Endgeräte steigt kontinuierlich an, auch und insbesondere in Unternehmen. Allein im zweiten Quartal 2024 verzeichnete Apple einen Anstieg von rund 20 Prozent in Mac-Auslieferungen.
Und auch andere Betriebssysteme aus dem Apple-Ökosystem sind auf dem Vormarsch: iPads kommen als Electronic Flight Bags (EFB) zur Informationsverwaltung in der Luftfahrt zum Einsatz, iPhones im Gesundheitswesen, um medizinischem und Pflegepersonal schnellen Zugriff auf elektronische Krankenakten zu ermöglichen und Vision Pro, um bei der Reparatur von kritischen Anlagen vor Ort Bau- oder Schaltpläne einzusehen. Dies bedeutet, dass eine immer größere Menge an sensiblen und damit für Cyberkriminelle potenziell wertvollen Daten auf Apple-Endgeräten zu finden ist. Damit lohnt es sich für Angreifer zunehmend spezialisierte Angriffsmethoden und Schadsoftware zu entwickeln, die mittel- und langfristig zudem ein höheres Skalierungspotenzial bieten.
Ein weiterer Aspekt, der macOS-Endgeräte zu einem attraktiven Ziel für Angreifer macht, ist die Nutzerdemografie. Viele Software-Entwickler bevorzugen macOS-Betriebssysteme für ihre Arbeit. Ein erfolgreicher Angriff auf das Endgerät eines Software-Entwicklers ermöglicht einem Angreifer nicht nur Zugang zum Gerät selbst, sondern potenziell auch Einsicht in und Zugriff auf sämtliche auf diesem Gerät entwickelte Software – eine einfache Möglichkeit für Angreifer, Malware schnell und breit zu streuen.
Von LockBit bis WTFMiner: macOS-spezifische Malware und Angriffsmethoden
Nicht nur ist also die Annahme, dass macOS- und iOS-Betriebssysteme frei von Malware sind, falsch, dieser Irrglaube über eine angebliche Unverwundbarkeit wird zunehmend selbst zu einem Sicherheitsrisiko. Denn Angreifer nutzen dieses Gefühl der Sicherheit und die damit verbundene Sorglosigkeit aktiv aus – inzwischen gibt es mehrere Malware-Varianten und Angriffsmethoden, die gezielt macOS-Betriebssysteme ins Visier nehmen. Beispiele dafür sind Atomic Stealer, JokerSpy, LockBit, der TCC Bypass und WTFMiner.
LockBit beispielsweise war eine der ersten großen Ransomware-Gruppen, die mit ihrer gleichnamigen Ransomware erstmals 2022 gezielt Apple-Geräte angegriffen hat. Dabei handelt es sich um eine Apple-Portierung einer ursprünglich für Linux-Betriebssysteme entwickelten Software. Auch ausschließlich auf Apple-Geräten zu finden ist der TCC Bypass, eine Schwachstelle im Transparency, Consent and Control-Mechanismus in iOS-basierten Betriebssystemen, der dazu führt, dass Nutzer nicht benachrichtigt werden, wenn eine bösartige Anwendung versucht, auf sensible Informationen wie Fotos, Kontakte oder GPS-Daten zuzugreifen. Die von der Malware-Gruppe BlueNoroff genutzte Malware JokerSpy missbraucht unter anderem diese Schwachstelle, um Apple-Geräte auszuspionieren.
WTFMiner hingegen ist eine über raubkopierte macOS-Apps verbreitete Kryptojacking-Malware. Sie verlässt sich auf die Nutzer, die durch das Ausführen der raubkopierten Apps den Kryptojacking-Prozess selbst aktivieren. Kryptojacking stellt eine Art von Cyberangriff dar, bei dem eine Kryptomining-Software vom Angreifer auf einem fremden Endgerät oder System eingeschleust wird, um dort unerkannt und mit fremder Rechenleistung Kryptomining zu betreiben. Einige Angreifer setzen in Sachen Kryptowährung jedoch auf einen noch simpleren Ansatz, mithilfe von Malware, die direkt auf Krypto-Wallets abzielt. Das heißt, anstatt Rechenleistung zu stehlen, um Kryptomining zu betreiben, wird Kryptowährung einfach direkt gestohlen – der oben erwähnte Atomic Stealer ist zum Beispiel eine Malware-as-a-Service, die AppleScript-Dialogfunktionen missbraucht, um potenzielle Opfer dazu zu bringen, ihre Anmeldedaten einzugeben.
Back to Basics: Grundlegende Schutzfunktionen aktivieren
Wie kann man sich als Nutzer also gegen diese komplexe Bedrohungslandschaft schützen? Wie auf allen anderen Betriebssystemen und Endgeräten ist das Risiko bei Apple-Geräten oftmals auf unzureichendes Sicherheitsbewusstsein und mangelhafte Schutzmaßnahmen zurückzuführen. Wie der Security 360 Report 2024 zeigt, verwendeten 40 Prozent aller Nutzer:innen von mobilen Endgeräten und 39 Prozent der von Jamf untersuchten Unternehmen Endgeräte mit bekannten Schwachstellen.
Zudem waren auf den von Jamf untersuchten Apple-Endgeräten oftmals wichtige Sicherheitsfunktionen deaktiviert. FileVault unterstützt beispielsweise durch die Verschlüsselung von Datenträgern den Schutz von Benutzerdaten. Die Funktion ist vergleichsweise einfach in der Bereitstellung, Konfiguration und Verwaltung, war aber auf 36 Prozent der untersuchten Endgeräte deaktiviert. Gatekeeper prüft jede zu installierende App, um sicherzustellen, dass nur die Funktionen ausgeführt werden, die vom Entwickler angegeben werden – allerdings war Gatekeeper auf 10 Prozent der untersuchten Endgeräte deaktiviert.
Die Firewall ist eine der grundlegendsten Schutzmaßnahmen gegenüber webbasierten Bedrohungen, die dafür sorgt, dass eingehende Verbindungsversuche von nicht autorisierten Anwendungen und Diensten nicht akzeptiert werden und war auf mehr als der Hälfte (55 Prozent) der untersuchten Geräte deaktiviert. Und auch der Sperrbildschirm, der mobile Geräte vor direktem, unbefugtem Zugriff schützen soll, war zumindest auf drei Prozent der untersuchten Geräte deaktiviert.
Diese Schutzfunktionen auch tatsächlich zu nutzen, ist eine der einfachsten Methoden, wie Unternehmen ihre Angriffsfläche reduzieren und damit ihre Vermögenswerte besser schützen können. Nicht zuletzt geht es jedoch auch darum, im Unternehmen ein Bewusstsein dafür zu etablieren, dass auch Apple-Geräte nicht unverwundbar sind und die entsprechende Expertise, Compliance-Standards sowie Implementierungs- und Geräteverwaltungsrichtlinien zu entwickeln, um mit macOS-spezifischen Bedrohungen umzugehen.
Autor: Henrik Nitsche, Channel Account Executive, Security bei Jamf