Neuer Mac-Trojaner Imuler.C

Der Sicherheitsexperte Intego hat eine neue Variante des bereits im September 2011 aufgetauchten Imuler Virus entdeckt. Hat die alte Version noch einen PDF-Exploit ausgenutzt, geht die Imuler.C getaufte Variante einen anderen, aber nicht neuen Weg.

Der Schadcode tarnt sich als Bilddatei, welches Intego auf der Seite virustotal.com gefunden hat. Die Malware Sample mit den Namen “Pictures and the Ariticle of Renzin Dorjee.zip” und “FHM Feb Cover Girl Irina Shayk H-Res Pics.zip” enthalten neben echten Bildern auch eine als Bilddatei getarnte Application Datei mit der Endung .app.

Malware Imule.C (Quelle: blog.intego.com)

Dabei ist die angewandte Technik nicht neu. Angreifer nutzen die Standardeinstellungen des Mac OS X Finders aus, welches die Dateiendungen bei bekannten Dateien ausblendet. Wird die vermeintliche Bilddatei geöffnet, installiert sich die Schadsoftware auf dem Mac und löscht anschließend die ausführbare Datei. Anschließend installiert die Schadsoftware eine Backdoor (Hintertür) im System unter dem Pfad /tmp/.mdworker und startet den gleichnamigen Prozess. Mdworker ist ein Metadata Indexer für Spotlight, welches die Suche beschleunigt.

Weiterhin werden im Autostart Ordner (~/library/LaunchAgents/) eine Reihe von ausführbaren Dateien abgelegt, unter anderem eine checkvir.plist, welche dafür sorgt, dass die Schadsoftware bei jedem Neustart aktiviert wird.

Imuler.C durchsucht den betroffenen Mac nach persönlichen Informationen und sendet diese anschließend an einen Server der Cyberkriminellen. Weiterhin werden Screenshots erstellt und ebenfalls versendet. Um die gesendeten Dateien besser zuordnen zu können, vergibt die Malware jedem infizierten Mac eine eindeutige Identifikationsnummer.

Schützen Sie sich, indem Sie die Dateiendungen für alle Dateien einblenden. Gehen Sie dazu unter Finder -> Einstellungen in die erweiterten Einstellungen und aktivieren Sie “Alle Dateinamensuffixe einblenden”. Wir empfehlen Ihnen zusätzlich einen Anti-Viren Schutz für Ihren Mac zu installieren. Dieser kann Sie im Notfall vor einer Infektionen warnen.

Dateiendungen anzeigen

 

Wie schützen Sie sich vor Angriffen aus dem Internet? Welche Anti-Viren Lösung haben Sie installiert? Diskutieren Sie mit uns in unserem Forum.