Gef\u00e4lschte Aktivierung<\/h2>\n
Nach dem Herunterladen eines Festplatten-Images, das die Crack-App enthalten soll, wird das Opfer aufgefordert, zwei Dateien in den Programmordner zu kopieren: die App selbst und einen sogenannten \u201eAktivator\u201c. Wenn Sie die App einfach nur kopieren und starten, l\u00e4sst sie sich nicht ausf\u00fchren. Laut Handbuch muss die geklaute App zuerst \u201eaktiviert\u201c werden. Unsere Analyse ergab, dass der Aktivator keine ausgekl\u00fcgelten Funktionen hat: Er entfernt lediglich einige Bytes am Anfang der ausf\u00fchrbaren Datei, um sie funktionsf\u00e4hig zu machen. Mit anderen Worten: Die Cyberkriminellen haben eine zuvor geklaute App so modifiziert, dass sie erst ausgef\u00fchrt werden kann, nachdem sie \u201eaktiviert\u201c wird. Es \u00fcberrascht nicht, dass der Aktivator einen unangenehmen Nebeneffekt hat: Er fragt nach Administratorberechtigungen, wenn er ausgef\u00fchrt wird, und verwendet diese, um ein Downloader-Skript im System zu installieren. Anschlie\u00dfend l\u00e4dt das Skript eine weitere Payload aus dem Web herunter\u00a0\u2013 eine Backdoor<\/a> oder Hintert\u00fcr, die ab und zu Befehle von ihren Operatoren anfordert.<\/p>\n Installationshandbuch, Aktivierungsfenster und Aufforderung zur Eingabe des Administratorpassworts<\/p><\/div>\n \u00a0<\/p>\n Um das sch\u00e4dliche Skript herunterzuladen, verwendet der Aktivator ein ebenso exotisches wie unschuldig wirkendes Tool: das Domain Name System (DNS). Wir haben bereits \u00fcber DNS und Secure DNS<\/a> geschrieben, aber eine interessante technische Funktion des Dienstes ausgelassen. Jeder DNS-Eintrag verkn\u00fcpft nicht nur den Internet-Namen eines Servers mit seiner IP-Adresse, sondern kann auch eine frei formatierte Textbeschreibung des Servers enthalten\u00a0\u2013 einen sogenannten TXT-Datensatz. Genau das nutzen die Schadakteure aus, indem sie Schnipsel von Schadcode in TXT-Datens\u00e4tze einbetten. Der Aktivator l\u00e4dt drei TXT-Eintr\u00e4ge herunter, die zu einer sch\u00e4dlichen Dom\u00e4ne geh\u00f6ren, und stellt daraus ein Skript zusammen.<\/p>\n Obwohl es kompliziert erscheint, hat das Setup eine Reihe von Vorteilen. Zun\u00e4chst macht der Aktivator nichts besonders Verd\u00e4chtiges: Eine beliebige Webanwendung fordert DNS-Eintr\u00e4ge an\u00a0\u2013 jede Kommunikationssitzung beginnt damit. Zweitens k\u00f6nnen die Angreifer das Skript leicht aktualisieren, um das Infektionsmuster und die endg\u00fcltige Payload zu \u00e4ndern, indem sie die TXT-Datens\u00e4tze der Dom\u00e4ne bearbeiten. Und schlie\u00dflich ist es aufgrund der weiten Verteilung des Domain Name Systems keine leichte Aufgabe, sch\u00e4dliche Inhalte aus dem Web zu entfernen. Internet Service Provider und Unternehmen k\u00f6nnen einen Versto\u00df gegen ihre Richtlinien nur schwer erkennen, da jeder dieser TXT-Datens\u00e4tze nur ein Ausschnitt aus dem Schadcode ist und f\u00fcr sich betrachtet keine Bedrohung darstellt.<\/p>\n Das in regelm\u00e4\u00dfigen Abst\u00e4nden ausgef\u00fchrte Download-Skript erm\u00f6glicht es Angreifern, die Schadsoftware zu aktualisieren und auf dem Computer des Opfers beliebige Aktionen auszuf\u00fchren. Zum Zeitpunkt unserer Analyse waren sie vor allem an dem Diebstahl von Kryptow\u00e4hrung interessiert. Die Backdoor durchsucht den Computer des Opfers automatisch nach Exodus- oder Bitcoin-Wallets und ersetzt diese durch trojanisierte Versionen. Ein infiziertes Exodus-Wallet stiehlt die Seedphrase des Benutzers und ein infiziertes Bitcoin-Wallet den Chiffrierschl\u00fcssel, der verwendet wird, um private Schl\u00fcssel zu verschl\u00fcsseln. Letzteres gibt Angreifern die M\u00f6glichkeit, \u00dcberweisungen im Namen des Opfers zu signieren. So kann man versuchen, ein paar Dutzend Euro f\u00fcr raubkopierte Apps zu sparen\u00a0\u2013 und verliert im Gegenzug einen viel gr\u00f6\u00dferen Kryptobetrag.<\/p>\n Der Tipp ist nicht neu, aber noch immer wahr: Um sich dieser Bedrohung zu entziehen und nicht zum Opfer zu werden, sollten Sie Apps nur von offiziellen Marktpl\u00e4tzen herunterladen. Bevor Sie eine App von der Website eines Entwicklers herunterladen, vergewissern Sie sich, dass es sich um ein Originalprodukt handelt und nicht von einer der vielen Phishing-Websites<\/a> kommt.<\/p>\n \u00dcberlegen Sie sich gut, ob sie die geklaute Version einer App wirklich herunterladen sollten. \u201eSkrupellose und vertrauensw\u00fcrdige\u201c Raubkopien sind so selten wie Elfen und Einh\u00f6rner.<\/p>\n Ganz gleich, wie hoch Sie Ihre Computerkenntnisse, Vorsicht und Liebe zum Detail einsch\u00e4tzen, pr\u00fcfen Sie noch einmal, ob wirklich alle Ihre Ger\u00e4te umfassend gesch\u00fctzt sind: Telefone, Tablets und Computer. Kaspersky Premium<\/a>\u00a0ist eine gute plattform\u00fcbergreifende L\u00f6sung. Stellen Sie sicher, dass alle grundlegenden und erweiterten Sicherheitsfunktionen<\/a> aktiviert sind. Den Besitzern von Kryptow\u00e4hrung empfehlen wir zus\u00e4tzlich zu den oben genannten Informationen unsere detaillierten Anweisungen zum Schutz von Hot<\/a> und Cold<\/a> Krypto-Wallets.<\/p>\n\n","protected":false},"excerpt":{"rendered":" Sie bekommen, wof\u00fcr Sie bezahlt haben: Geklaute macOS-Apps rufen Schadcode aus DNS-Eintr\u00e4gen ab, um Krypto zu stehlen<\/p>\n","protected":false},"author":2749,"featured_media":30880,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[274,872,2384,3428,2632,2745,903,937,1654],"class_list":{"0":"post-30879","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-bedrohungen","9":"tag-bitcoin","10":"tag-dns","11":"tag-exodus","12":"tag-kryptowahrung","13":"tag-kryptowahrungen","14":"tag-macos","15":"tag-osx","16":"tag-tips"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/30879\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27017\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/22330\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/11386\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/29687\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27185\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27012\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/29606\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/28510\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/36901\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/12027\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/50361\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/21445\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/22210\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/35746\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27410\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/33202\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/32826\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/macos\/","name":"MacOS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30879","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2749"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=30879"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30879\/revisions"}],"predecessor-version":[{"id":30882,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30879\/revisions\/30882"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/30880"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=30879"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=30879"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=30879"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Installationshandbuch,](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2024\/02\/07100115\/fake-macos-activator-steals-bitcoin-exodus-uses-DNS-01.jpg\")
<\/a>Verlinkung \u00fcber DNS<\/h2>\n
Das letzte Wort<\/h2>\n
So sch\u00fctzen Sie sich vor einem Angriff auf Ihre Krypto-Wallets<\/h2>\n