{"id":18972,"date":"2019-04-08T17:09:22","date_gmt":"2019-04-08T15:09:22","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18972"},"modified":"2019-11-22T12:07:53","modified_gmt":"2019-11-22T10:07:53","slug":"macos-exe-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/macos-exe-malware\/18972\/","title":{"rendered":"Sch\u00e4dliche EXE-Dateien f\u00fcr macOS"},"content":{"rendered":"

Die fortw\u00e4hrende Annahme, dass macOS unverwundbar ist, ist, wie wir bereits unz\u00e4hlige Male auf unserem Blog erw\u00e4hnt haben, ein reiner Mythos<\/a>. Vor Kurzem haben Cyberkriminelle einen weiteren Weg gefunden, um an dem integrierten Verteidigungsmechanismus des Betriebssystems vorbeizukommen. Dazu sammelten sie Daten \u00fcber das infizierte System und f\u00fcgten diese mithilfe von EXE-Dateien, die normalerweise nur unter Windows ausgef\u00fchrt werden<\/a>, Adware hinzu. Eine EXE-Datei, die Mac-Nutzer infiziert? Kling zun\u00e4chst merkw\u00fcrdig, aber die Methode funktioniert tats\u00e4chlich.<\/p>\n

Raubkopierte Firewall geb\u00fcndelt mit EXE-Malware<\/h2>\n

Die Ironie an der ganzen Sache? Die Malware wurde einer raubkopierten Version der Firewall Little Snitch<\/em> hinzugef\u00fcgt. Der Plan vieler Nutzer, auf diese Weise an einer kostenpflichtigen Lizens zu sparen, ging dabei v\u00f6llig in die Hose.<\/p>\n

Die infizierte Version der Firewall wurde mithilfe von Torrents verteilt; die Opfer luden zun\u00e4chst ein scheinbar gew\u00f6hnliches ZIP-Archiv mit einem Disk-Image in DMG-Format herunter. Ein genauer Blick auf den Inhalt dieser DMG-Datei zeigt jedoch, das sich innerhalb des MonoBundle-Ordners eine ausf\u00fchrbare installer.exe-Datei befindet. Ziemlich untypisch f\u00fcr macOS, denn diese k\u00f6nnen normalerweise nicht auf Mac-Computern ausgef\u00fchrt werden.<\/p>\n

Gatekeeper stellt sich blind<\/h3>\n

Tats\u00e4chlich werden ausf\u00fchrbare Windows-Programme von macOS nicht unterst\u00fctzt<\/em>, sodass Gatekeeper (ein Sicherheitsfeature von macOS, das die Ausf\u00fchrung verd\u00e4chtiger Programme verhindert) EXE-Dateien ganz einfach ignoriert. Das ist durchaus verst\u00e4ndlich: Es macht wenig Sinn, das System durch das Scannen offensichtlich inaktiver Dateien zu \u00fcberlasten, vor allem, wenn Apples Betriebsgeschwindigkeit als eines der<\/em> Verkaufsargumente schlechthin gilt.<\/p>\n

All das w\u00e4re auch sch\u00f6n und gut, wenn es an dieser Stelle kein \u201eaber\u201c geben w\u00fcrde: Viele Programme, die f\u00fcr Windows verf\u00fcgbar sind, werden zeitweise auch von Mac-Nutzern ben\u00f6tigt. Aus diesem Grund gibt es verschiedene L\u00f6sungen, um systemunabh\u00e4ngige Dateien auszuf\u00fchren. Dazu z\u00e4hlt auch das Mono-Framework<\/a>, ein kostenloses System, das Nutzern erm\u00f6glicht Windows-Anwendungen unter anderen Betriebssystemen auszuf\u00fchren; einschlie\u00dflich macOS.<\/p>\n

Wie Sie sich an dieser Stelle vermutlich denken k\u00f6nnen, haben die Cyberkriminellen eben dieses Framework ausgenutzt, das normalerweise separat auf dem Computer installiert werden sollte. Doch die Cyberkriminellen haben sich eine Methode einfallen lassen, um die Malware im Framwork zu verpacken. (Erinnern Sie sich an die mysteri\u00f6se EXE-Datei im MonoBundle-Ordner?) Daher kann die Malware auch auf Mac-Rechnern erfolgreich ausgef\u00fchrt werden, deren Besitzer ausschlie\u00dflich native Programme verwenden.<\/p>\n

Infektion mit Spyware und Adware<\/h3>\n

Nach der Installation erfasst die Malware zun\u00e4chst Informationen \u00fcber das infizierte System. Cyberkriminelle interessieren sich vor allem f\u00fcr Modellnamen, Ger\u00e4te-IDs, Prozessorspezifikationen, RAM uvm. Dar\u00fcber hinaus sammelt und sendet die Malware Informationen \u00fcber installierte Anwendungen an ihren C&C-Server<\/a>.<\/p>\n

Gleichzeitig werden zahlreiche weitere Bilder heruntergeladen, wobei sich Installationsprogramme unter dem Deckmantel von Adobe Flash Media Player oder Little Snitch auf das infizierte Ger\u00e4t einschleusen. Tats\u00e4chlich handelt es sich dabei um gew\u00f6hnliche Adware-Tools, die Sie 24\/7 mit nervigen Bannern bel\u00e4stigen.<\/p>\n

So sch\u00fctzen Sie sich<\/h3>\n

Und die Moral von der Geschicht\u2018: In einer Welt der Informationstechnologien gibt es schlichtweg keine 100%ig sicheren Systeme. Integrierten Schutzfunktionen kann nicht ohne Weiteres blind vertraut werden, auch wenn sie als zuverl\u00e4ssig gelten. Im Anschluss haben wir einige Tipps f\u00fcr Sie zusammengetragen, wie Sie Ihren Computer vor Malware sch\u00fctzen k\u00f6nnen.<\/p>\n