Schädliche EXE-Dateien für macOS

8 Apr 2019

Die fortwährende Annahme, dass macOS unverwundbar ist, ist, wie wir bereits unzählige Male auf unserem Blog erwähnt haben, ein reiner Mythos. Vor Kurzem haben Cyberkriminelle einen weiteren Weg gefunden, um an dem integrierten Verteidigungsmechanismus des Betriebssystems vorbeizukommen. Dazu sammelten sie Daten über das infizierte System und fügten diese mithilfe von EXE-Dateien, die normalerweise nur unter Windows ausgeführt werden, Adware hinzu. Eine EXE-Datei, die Mac-Nutzer infiziert? Kling zunächst merkwürdig, aber die Methode funktioniert tatsächlich.

EXE-Dateien stellen sowohl für Windows als auch für macOS eine Gefahr dar

Raubkopierte Firewall gebündelt mit EXE-Malware

Die Ironie an der ganzen Sache? Die Malware wurde einer raubkopierten Version der Firewall Little Snitch hinzugefügt. Der Plan vieler Nutzer, auf diese Weise an einer kostenpflichtigen Lizens zu sparen, ging dabei völlig in die Hose.

Die infizierte Version der Firewall wurde mithilfe von Torrents verteilt; die Opfer luden zunächst ein scheinbar gewöhnliches ZIP-Archiv mit einem Disk-Image in DMG-Format herunter. Ein genauer Blick auf den Inhalt dieser DMG-Datei zeigt jedoch, das sich innerhalb des MonoBundle-Ordners eine ausführbare installer.exe-Datei befindet. Ziemlich untypisch für macOS, denn diese können normalerweise nicht auf Mac-Computern ausgeführt werden.

Gatekeeper stellt sich blind

Tatsächlich werden ausführbare Windows-Programme von macOS nicht unterstützt, sodass Gatekeeper (ein Sicherheitsfeature von macOS, das die Ausführung verdächtiger Programme verhindert) EXE-Dateien ganz einfach ignoriert. Das ist durchaus verständlich: Es macht wenig Sinn, das System durch das Scannen offensichtlich inaktiver Dateien zu überlasten, vor allem, wenn Apples Betriebsgeschwindigkeit als eines der Verkaufsargumente schlechthin gilt.

All das wäre auch schön und gut, wenn es an dieser Stelle kein „aber“ geben würde: Viele Programme, die für Windows verfügbar sind, werden zeitweise auch von Mac-Nutzern benötigt. Aus diesem Grund gibt es verschiedene Lösungen, um systemunabhängige Dateien auszuführen. Dazu zählt auch das Mono-Framework, ein kostenloses System, das Nutzern ermöglicht Windows-Anwendungen unter anderen Betriebssystemen auszuführen; einschließlich macOS.

Wie Sie sich an dieser Stelle vermutlich denken können, haben die Cyberkriminellen eben dieses Framework ausgenutzt, das normalerweise separat auf dem Computer installiert werden sollte. Doch die Cyberkriminellen haben sich eine Methode einfallen lassen, um die Malware im Framwork zu verpacken. (Erinnern Sie sich an die mysteriöse EXE-Datei im MonoBundle-Ordner?) Daher kann die Malware auch auf Mac-Rechnern erfolgreich ausgeführt werden, deren Besitzer ausschließlich native Programme verwenden.

Infektion mit Spyware und Adware

Nach der Installation erfasst die Malware zunächst Informationen über das infizierte System. Cyberkriminelle interessieren sich vor allem für Modellnamen, Geräte-IDs, Prozessorspezifikationen, RAM uvm. Darüber hinaus sammelt und sendet die Malware Informationen über installierte Anwendungen an ihren C&C-Server.

Gleichzeitig werden zahlreiche weitere Bilder heruntergeladen, wobei sich Installationsprogramme unter dem Deckmantel von Adobe Flash Media Player oder Little Snitch auf das infizierte Gerät einschleusen. Tatsächlich handelt es sich dabei um gewöhnliche Adware-Tools, die Sie 24/7 mit nervigen Bannern belästigen.

So schützen Sie sich

Und die Moral von der Geschicht‘: In einer Welt der Informationstechnologien gibt es schlichtweg keine 100%ig sicheren Systeme. Integrierten Schutzfunktionen kann nicht ohne Weiteres blind vertraut werden, auch wenn sie als zuverlässig gelten. Im Anschluss haben wir einige Tipps für Sie zusammengetragen, wie Sie Ihren Computer vor Malware schützen können.

  • Installieren Sie niemals raubkopierte Anwendungsversionen. Wenn Sie wirklich auf der Suche nach einem Programm sind, für das Sie definitiv nicht bereit sind zu zahlen, sollten Sie zunächst nach einer kostenlosen Alternative Ausschau halten.
  • Laden Sie Programme immer aus offiziellen Quellen herunter: aus dem App Store oder von der offiziellen Website des Entwicklers.
  • Wenn Sie sich dafür entscheiden, eine Anwendung aus einer inoffiziellen Quelle herunterzuladen, beispielsweise, wie oben erwähnt, von einem Torrent-Tracker, sollten Sie immer ein Auge darauf haben, was tatsächlich heruntergeladen wird. Seien Sie misstrauisch, wenn sich „Extra“-Dateien im Installationspaket befinden.
  • Verwenden Sie einezuverlässige AV-Lösung, die ausnahmslos alle dubios wirkenden Dateien scannt.