Wieder haben es Kriminelle geschafft, eine Sicherheitslücke in einer Mac-Software aktiv auszunutzen um Schadcode auf dem System des Anwenders auszuführen. Der Sicherheits-Experte Braden Thomas entdeckte diese Schwachstelle bereits Anfang Juni, wobei der Fehler bei der Umsetzung eines URL-Handlers im MacKeeper ausgenutzt wird. Denn sobald der Anwender eine kompromittierte Webseite oder einen gefälschten Link in einer E-Mail anklickt, schiebt sich der MacKeeper in den Vordergrund und verlangt über den Passwort-Dialog administrative Rechte für die Bereinigung einer angeblichen Malware-Infektion. Mit diesen erlangten Rechten wird nicht, wie erwartet, das System bereinigt, sondern im Hintergrund ein Trojaner installiert, der von extern befehligt werden kann.
(Bsp. veränderteres Script eines Links)
<script>
window.location.href=
'com-zeobit-command:///i/ZBAppController/performActionWithHelperTask:
arguments:/[BASE_64_ENCODED_STUB]';
</script>
MacKeeper schiebt sich in den Vordergrund
- Ausführen von Shellcode
- Austausch vonBefehlen und Dateien mit seinem C&C-Server
- Herunterladen von weiteren Schadcode
- Installation von Schacode durch erlangte Admin-Rechte
- Sammeln von Prozess-und Statusmeldungen, Systeminformationen und Anwenderinformationen
- Überprüfung der Verfügbarkeit von VPN-Verbindungen
MacKeeper hat schnell reagiert und die Sicherheitslücke bereits geschlossen. Den ursprüglichen, originalen Bericht finden Sie auf dem Blog der BAE SYSTEMS APPLIED INTELLIGENCE. Weiterhin sollten Sie den Einsatz vom MacKeeper überdenken, da die Software wenig Funktionen in der kostenfreien Version bereitstellt und den Anwender durch nervige Popups zum Erwerb der Vollversion ärgert.
Damit der Apple-Rechner nicht mit Viren infiziert wird, sollte auch auf dem Mac ein Antivirenschutz installiert sein. Aktuelle Tests und Bewertungen zu aktuellen Antivirenlösungen für alle Betriebssysteme (auch Mobile), finden Sie auf den Seiten von AV-Test.
