Zum Hauptinhalt springen

Im vergangenen Jahr verhinderten Kaspersky-Lösungen auf jedem zehnten macOS-Gerät einen Angriff der Trojaner-Familie Shlayer, was diese damit zur weitverbreitetsten macOS-Bedrohung macht [1]. Eingebettet in ein intelligentes System zur Verbreitung von Schadsoftware wird das Programm über ein Partnernetzwerk, Unterhaltungswebsites und sogar Wikipedia gestreut.

Obwohl macOS traditionell als ein weitgehend sicheres Betriebssystem angesehen wird, gibt es Cyberkriminelle, die weiterhin versuchen, aus dem entsprechenden Nutzerkreis Profit zu schlagen. Shlayer – die am weitesten verbreitete macOS-Bedrohung im Jahr 2019 – ist laut Kaspersky-Auswertungen ein besonders gutes Beispiel dafür. Der Schädling ist auf die Installation von Adware spezialisiert, die Nutzer mit unerlaubter Werbung überzieht, Browseranfragen abfängt und sammelt sowie Suchergebnisse modifiziert, um noch mehr Werbebotschaften zu verbreiten.

Die Anzahl der Angriffe durch Shlayer auf macOS-Geräte, die im Zeitraum Januar bis November 2019 von Kaspersky-Produkten geschützt wurden, betrug nahezu ein Drittel (29,28 Prozent). Bei fast allen anderen Top-10-macOS-Bedrohungen handelte es sich um Adware, die durch Shlayer installiert wurde, darunter AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit oder AdWare.OSX.Cimpli.

Der Infektionsprozess von Shlayer

Seit der ersten Entdeckung hat sich der Infektionsalgorithmus von Shlayer nur geringfügig verändert, obwohl seine Aktivität kaum abgenommen hat. Der Infektionsprozess besteht oft aus zwei Phasen. Zunächst installiert der Nutzer die Malware Shlayer, die wiederum einen ausgewählten Adware-Typus aktiviert. Die Geräteinfektion beginnt damit, dass ein Nutzer das schädliche Programm unwissentlich herunterlädt. Um diese Installationen zu provozieren, richteten die hinter Shlayer stehenden Cyberkriminellen ein Malware-Verteilungssystem mit einer Reihe von Kanälen ein, das User zum Herunterladen der Malware verleitet.

Shlayer wird als Möglichkeit angeboten, um aus Websites im Rahmen von Datei-Partnerprogrammen Gewinn zu schlagen, wobei für jede Malware-Installation durch amerikanische Nutzer relativ hohe Zahlungen geleistet werden. Dies hat inzwischen mehr als 1.000 „Partner-Websites“ zur Verbreitung von Shlayer veranlasst. In der Praxis funktioniert dieses Schema wie folgt: Ein Nutzer sucht nach einer TV-Serie oder einem Fußballspiel und wird über Werbe-Landingpages auf gefälschte Flash-Player-Updateseiten umgeleitet. Dort wird er zum Download aufgefordert, wobei es sich bei der konkreten Software um Malware handelt. Für jede solche Installation erhält ein „Partner“, der Links auf die Malware geschaltet hat, eine Zahlung.

Andere Szenarien führen zu einer gefälschten Adobe-Flash-Update-Website, die Nutzer von verschiedenen großen Online-Diensten mit mehreren Millionen Nutzern – darunter YouTube – auf bösartige, in Videobeschreibungen eingebettete, Weiterleitungen führt. Darüber hinaus wurden versteckte Links in den Quellen von Wikipedia-Artikeln gefunden. Nutzer, die auf diese Links klickten, wurden zu einer Landingpage weitergeleiten, von der Shlayer heruntergeladen wurde. Die Kaspersky-Forscher fanden 700 Domains mit schädlichem Inhalt, auf die mit Links von verschiedenen legitimen Websites verwiesen wurde.

Viele deutsche macOS-Nutzer sind betroffen

Fast alle Websites, die zu einem gefälschten Flash-Player führen, enthielten Inhalte in englischer Sprache. Dies korreliert mit den Top-Ländern, in denen die Nutzer von der Bedrohung betroffen waren – den USA (31 Prozent), Deutschland (14 Prozent), Frankreich (10 Prozent) und Großbritannien (10 Prozent).

„Die macOS-Plattform ist eine rentable Einnahmequelle für Cyberkriminelle, die ständig nach neuen Wegen suchen, Nutzer zu täuschen und Social-Engineering-Techniken aktiv zur Verbreitung ihrer Malware zu nutzen“, erläutert Anton Ivanov, Security Analyst bei Kaspersky. „Dieser Fall zeigt, dass solche Bedrohungen sogar auf legitimen Websites zu finden sind. macOS-Nutzer haben noch Glück, denn die weitverbreitetsten Bedrohungen, die auf macOS abzielen, drehen sich derzeit eher um das Verbreiten illegaler Werbung als um wesentlich gefährlichere Aktionen, wie etwa der Diebstahl von Finanzdaten. Eine gute Sicherheitslösung wie Kaspersky Security Cloud kann Nutzer vor solchen Bedrohungen schützen und die Suche im Internet sicher machen.“

Kaspersky-Lösungen klassifizieren Shlayer und seine Artefakte als:

  • HEUR:Trojan-Downloader.OSX.Shlayer.*
  • not-a-virus:HEUR:AdWare.OSX.Cimpli.*
  • not-a-virus:AdWare.Script.SearchExt.*
  • not-a-virus:AdWare.Python.CimpliAds.*
  • not-a-virus:HEUR:AdWare.Script.MacGenerator.gen

Kaspersky-Tipps zum Schutz vor Trojaner-Infektionen

  • Installation von Programmen und Updates nur aus vertrauenswürdigen Quellen.
  • Prüfung von Unterhaltungswebsites hinsichtlich deren Seriosität durch vorherige Recherche.
  • Verwendung einer zuverlässigen Sicherheitslösung wie Kaspersky Security Cloud [2], die sowohl auf dem Mac als auch auf dem PC und auf mobilen Geräten erweiterten Schutz bietet.

Weitere Informationen sind verfügbar unter https://securelist.com/shlayer-for-macos/95724/

 

[1] https://securelist.com/shlayer-for-macos/95724/

[2] https://www.kaspersky.de/security-cloud

Nützliche Links:

Tausende von Websites verbreiten macOS-Malware

Deutschland mit 14 Prozent international am zweithäufigsten von der Trojaner-Familie Shlayer betroffen
Kaspersky Logo