{"id":21994,"date":"2020-01-24T13:07:03","date_gmt":"2020-01-24T11:07:03","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=21994"},"modified":"2020-01-24T13:07:03","modified_gmt":"2020-01-24T11:07:03","slug":"tausende-von-websites-verbreiten-macos-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/tausende-von-websites-verbreiten-macos-malware\/21994\/","title":{"rendered":"Tausende von Websites verbreiten macOS-Malware"},"content":{"rendered":"

Im vergangenen Jahr verhinderten Kaspersky-L\u00f6sungen auf jedem zehnten macOS-Ger\u00e4t einen Angriff der Trojaner-Familie Shlayer, was diese damit zur weitverbreitetsten macOS-Bedrohung<\/a> macht. Eingebettet in ein intelligentes System zur Verbreitung von Schadsoftware wird das Programm \u00fcber ein Partnernetzwerk, Unterhaltungswebsites und sogar Wikipedia gestreut.<\/p>\n

Obwohl macOS traditionell als ein weitgehend sicheres Betriebssystem angesehen wird, gibt es Cyberkriminelle, die weiterhin versuchen, aus dem entsprechenden Nutzerkreis Profit zu schlagen. Shlayer \u2013 die am weitesten verbreitete macOS-Bedrohung im Jahr 2019 \u2013 ist laut unseren Auswertungen ein besonders gutes Beispiel daf\u00fcr. Der Sch\u00e4dling ist auf die Installation von Adware spezialisiert, die Nutzer mit unerlaubter Werbung \u00fcberzieht, Browseranfragen abf\u00e4ngt und sammelt sowie Suchergebnisse modifiziert, um noch mehr Werbebotschaften zu verbreiten.<\/p>\n

Die Anzahl der Angriffe durch Shlayer auf macOS-Ger\u00e4te, die im Zeitraum Januar bis November 2019 von Kaspersky-Produkten gesch\u00fctzt wurden, betrug nahezu ein Drittel (29,28 Prozent). Bei fast allen anderen Top-10-macOS-Bedrohungen handelte es sich um Adware, die durch Shlayer installiert wurde, darunter AdWare.OSX.Bnodlero, AdWare.OSX.Geonei, AdWare.OSX.Pirrit oder AdWare.OSX.Cimpli.<\/p>\n

\u00a0<\/p>\n

Der Infektionsprozess von Shlayer<\/h3>\n

Seit der ersten Entdeckung hat sich der Infektionsalgorithmus von Shlayer nur geringf\u00fcgig ver\u00e4ndert, obwohl seine Aktivit\u00e4t kaum abgenommen hat. Der Infektionsprozess besteht oft aus zwei Phasen. Zun\u00e4chst installiert der Nutzer die Malware Shlayer, die wiederum einen ausgew\u00e4hlten Adware-Typus aktiviert. Die Ger\u00e4teinfektion beginnt damit, dass ein Nutzer das sch\u00e4dliche Programm unwissentlich herunterl\u00e4dt. Um diese Installationen zu provozieren, richteten die hinter Shlayer stehenden Cyberkriminellen ein Malware-Verteilungssystem mit einer Reihe von Kan\u00e4len ein, das User zum Herunterladen der Malware verleitet.<\/p>\n

\"\"<\/p>\n

Shlayer wird als M\u00f6glichkeit angeboten, um aus Websites im Rahmen von Datei-Partnerprogrammen Gewinn zu schlagen, wobei f\u00fcr jede Malware-Installation durch amerikanische Nutzer relativ hohe Zahlungen geleistet werden. Dies hat inzwischen mehr als 1.000 \u201ePartner-Websites\u201c zur Verbreitung von Shlayer veranlasst. In der Praxis funktioniert dieses Schema wie folgt: Ein Nutzer sucht nach einer TV-Serie oder einem Fu\u00dfballspiel und wird \u00fcber Werbe-Landingpages auf gef\u00e4lschte Flash-Player-Updateseiten umgeleitet. Dort wird er zum Download aufgefordert, wobei es sich bei der konkreten Software um Malware handelt. F\u00fcr jede solche Installation erh\u00e4lt ein \u201ePartner\u201c, der Links auf die Malware geschaltet hat, eine Zahlung.<\/p>\n

Andere Szenarien f\u00fchren zu einer gef\u00e4lschten Adobe-Flash-Update-Website, die Nutzer von verschiedenen gro\u00dfen Online-Diensten mit mehreren Millionen Nutzern \u2013 darunter YouTube \u2013 auf b\u00f6sartige, in Videobeschreibungen eingebettete, Weiterleitungen f\u00fchrt. Dar\u00fcber hinaus wurden versteckte Links in den Quellen von Wikipedia-Artikeln gefunden. Nutzer, die auf diese Links klickten, wurden zu einer Landingpage weitergeleiten, von der Shlayer heruntergeladen wurde. Die Kaspersky-Forscher fanden 700 Domains mit sch\u00e4dlichem Inhalt, auf die mit Links von verschiedenen legitimen Websites verwiesen wurde.<\/p>\n

\u00a0<\/p>\n

Viele deutsche macOS-Nutzer sind betroffen<\/h3>\n

Fast alle Websites, die zu einem gef\u00e4lschten Flash-Player f\u00fchren, enthielten Inhalte in englischer Sprache. Dies korreliert mit den Top-L\u00e4ndern, in denen die Nutzer von der Bedrohung betroffen waren \u2013 den USA (31 Prozent), Deutschland (14 Prozent), Frankreich (10 Prozent) und Gro\u00dfbritannien (10 Prozent).<\/p>\n

Die macOS-Plattform ist eine rentable Einnahmequelle f\u00fcr Cyberkriminelle, die st\u00e4ndig nach neuen Wegen suchen, Nutzer zu t\u00e4uschen und Social-Engineering-Techniken aktiv zur Verbreitung ihrer Malware zu nutzen. Dieser Fall zeigt, dass solche Bedrohungen sogar auf legitimen Websites zu finden sind. macOS-Nutzer haben noch Gl\u00fcck, denn die weitverbreitetsten Bedrohungen, die auf macOS abzielen, drehen sich derzeit eher um das Verbreiten illegaler Werbung als um wesentlich gef\u00e4hrlichere Aktionen, wie etwa der Diebstahl von Finanzdaten. Eine gute Sicherheitsl\u00f6sung wie Kaspersky Security Cloud kann Nutzer vor solchen Bedrohungen sch\u00fctzen und die Suche im Internet sicher machen.<\/p>\n

\"\"<\/p>\n

Kaspersky-L\u00f6sungen klassifizieren Shlayer und seine Artefakte als:<\/h3>\n

.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 HEUR:Trojan-Downloader.OSX.Shlayer.*<\/p>\n

.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 not-a-virus:HEUR:AdWare.OSX.Cimpli.*<\/p>\n

.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 not-a-virus:AdWare.Script.SearchExt.*<\/p>\n

.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 not-a-virus:AdWare.Python.CimpliAds.*<\/p>\n

.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 not-a-virus:HEUR:AdWare.Script.MacGenerator.gen<\/p>\n

\u00a0<\/p>\n

Kaspersky-Tipps zum Schutz vor Trojaner-Infektionen<\/h3>\n

.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Installation von Programmen und Updates nur aus vertrauensw\u00fcrdigen Quellen.<\/p>\n

.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Pr\u00fcfung von Unterhaltungswebsites hinsichtlich deren Seriosit\u00e4t durch vorherige Recherche.<\/p>\n

.\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0\u00a0 Verwendung einer zuverl\u00e4ssigen Sicherheitsl\u00f6sung wie Kaspersky Security Cloud<\/a>, die sowohl auf dem Mac als auch auf dem PC und auf mobilen Ger\u00e4ten erweiterten Schutz bietet.<\/p>\n

Weitere Informationen sind hier auf Securelist<\/a> verf\u00fcgbar.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Im vergangenen Jahr verhinderten Kaspersky-L\u00f6sungen auf jedem zehnten macOS-Ger\u00e4t einen Angriff der Trojaner-Familie Shlayer, was diese damit zur weitverbreitetsten macOS-Bedrohung macht.<\/p>\n","protected":false},"author":19,"featured_media":21995,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,6],"tags":[109,51,903,1650,3482,257],"class_list":{"0":"post-21994","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-apple","10":"tag-mac","11":"tag-macos","12":"tag-malware","13":"tag-shlayer","14":"tag-trojaner"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/tausende-von-websites-verbreiten-macos-malware\/21994\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/apple\/","name":"Apple"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/21994","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=21994"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/21994\/revisions"}],"predecessor-version":[{"id":22000,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/21994\/revisions\/22000"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/21995"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=21994"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=21994"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=21994"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}