> > > > Neuer Mac-Trojaner tarnt sich mit Right-to-Left-Override Methode

Neuer Mac-Trojaner tarnt sich mit Right-to-Left-Override Methode

Veröffentlicht am: von

apple logoDie steigende Popularität des Apple-Betriebssystems Mac OS X birgt für seine Nutzer eine gravierende Schattenseite: Das immer größer werdende Interesse von Entwicklern für Schadsoftware. Nun ist eine neue und zugleich kuriose Mac-Malware aufgetaucht, die in der vergangenen Woche durch Webroot aufgedeckt wurde. Der neue Trojaner „OSX.Janicab.A“ setzt auf die Gutgläubigkeit des Nutzers, bedient sich dabei aber auch eines relativ simplen Tricks. Die Software tarnt sich als einfaches Text-Dokument im DOC- oder PDF-Format und lässt sich damit ganz einfach über E-Mail verbreiten. Wer den Anhang öffnet, startet zunächst allerdings kein Textdokument, sondern eine ausführbare Datei, die wie viele andere Programme bei der Installation unter Mac OS X nach dem Systempasswort fragen. Wird dieses eingegeben, ist der Apple-Rechner infiziert.

Eigentlich verhindert Mac OS X das Ändern der Dateierweiterung einer ausführbaren .app-Datei in PDF oder DOC. Um dem Nutzer später dennoch den Anschein zu geben, ein Textdokument und keine ausführbare Datei zu öffnen, bedienten sich die Malware-Entwickler eines simplen Tricks: Der „Righ-to-Left-Override“-Methode. Dabei setzen sie auf den Zeichencode U+202E, der bei Sprachen wie Hebräisch zum Einsatz kommt und das Schreiben von rechts nach links ermöglicht. Mit diesem Zeichencode kann der Malware-Autor im Charakter-Viewer von OS X die Datei-Endung seines Trojaners einfach ändern. Um später die richtige Erweiterung „PDF“ zu erhalten tippt er einfach „FDP“. Auch der Dokument-Name muss in der falschen Reihenfolge angepasst werden – schon ist das Dokument verschleiert.

Alarmglocken: Die von Mac OS X ausgegebene Warnmeldung ist beim Einsatz der „Righ-to-Left-Override“-Methode nicht wirklich verständlich.

Die Tarnung ist damit zwar gelungen, doch öffnet der Nutzer anschließend die Datei, ist auch die angezeigte Warnmeldung von Max OS X von rechts nach links geschrieben und somit eigentlich nicht wirklich verständlich. Spätestens hier sollten beim Anwender die Alarmglocken klingeln. Das Sicherheitstool Gatekeeper unter Mac OS X umgeht die Malware im Übrigen ebenfalls, da das Schadprogramm mit einer echten Entwickler-ID zertifiziert wurde. Sperrt Apple diese ID, greift allerdings auch dieser Schutz-Mechanismus wieder. Eine Bedrohung für eine große Nutzerschaft stellt der neue Trojaner „OSX.Janicab.A“ damit also nicht dar.

Social Links

Kommentare (3)

#1
customavatars/avatar107976_1.gif
Registriert seit: 04.02.2009
Hannover
Otaku :)
Beiträge: 2319
das gleiche wie unter windows also: die größte bedrohung sitzt immer noch vor dem bildschirm ;)
#2
customavatars/avatar87122_1.gif
Registriert seit: 13.03.2008

Kapitänleutnant
Beiträge: 1708
Fun Fact: ich kenne zig MacBook User deren Systeme offensichtlich ein Malware-Problem haben. Alle leugnen es aber, denn Viren/Malware gibt es ausschließlich bei Windows-Nutzern.

Ich frage mich, wie man darauf kommt, dass man durch den Kauf eines Apple-Geräts sofort zum IT-Profi wird.

Insofern ist die größte Bedrohung wirklich der (pseudo-elitäre Apple-)User.
#3
Registriert seit: 28.02.2013

Stabsgefreiter
Beiträge: 287
OSX ist von Haus aus relativ sicher es gibt bisher keinen bekannten Virus oder eine Malware die ohne dümmliches zutun des User installiert werden kann.

Leider gibt es dennoch einfach nur blinde Menschen die dennoch das Passwort eingeben werden und somit für sich selbst und andere eine Gefahr darstellen gegen diese Dummheit ist man sowieso niemals geschützt!

Einen Virusscanner würde ich trotzdem niemals installieren - was soll dieser unnötige Ballast?

Eines empfehle ich jedem OSX USer auf jedenfall:
Enzieht eurem User die Adminrechte - Standardmässig wird OSX leider so installiert - man kann somit nochmals mehr Sicherheit erlangen!
Für die nachträgliche Änderung geht man so vor:
Zweiten Account anlegen diesem Adminrechte geben und nachdem das gemacht wurde dem ursprünglichen Account die Adminrechte entziehen!
Auf keinen Fall sollte man den Namen des bestehenden User Accounts ändern oder sonstife Tricks probieren der von mir beschriebene Weg ist der sicherste - da passiert garantiert nix!
Man nutzt so seinen bestehenden Account wie bisher weiter - jedoch muss bei jeder Installation eines Programmes der Admin-Name + Passwort eingegeben werden.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

Meltdown- und Spectre-Patches für Windows, macOS und Linux

Logo von IMAGES/STORIES/2017/INTEL

Nachdem wir uns die Details zu den Sicherheitslücken Spectre und Meltdown nun genauer angeschaut haben, einige Benchmarks präsentieren konnten und eine Analyse mit der Beantwortung der wichtigsten Fragen gemacht haben, stellt sich vielen sicherlich die Frage, für welche Software es denn nun... [mehr]

Microsoft Windows 10 Fall Creators Update steht bereit

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Microsoft hat das fünfte größere Update für Windows 10 veröffentlicht. Das passend zur Jahreszeit Fall Creators Update getaufte Release kann seit heute Nachmittag als ISO direkt bei Microsoft heruntergeladen werden und wird ab sofort auch schrittweise auf bestehenden Windows-10-Systemen... [mehr]

Polaris oder Schalter: Microsoft arbeitet an Nachfolger für Windows 10 S

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Nicht einmal ein Jahr nach der Vorstellung von Windows 10 S droht das möglicherweise schnelle Aus. Denn seit einigen Tagen mehren sich die Meldungen, dass Microsoft an möglichen Alternativen arbeitet, die unterschiedlicher nicht sein könnten. Die eine würde aus der eigenständigen Version... [mehr]

Ohne Tamtam: Windows 10 Fall Creators Update beinhaltet Anti-Cheat-Tool

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Microsoft hat viele der Neuerungen, welche durch das Windows 10 Fall Creators Update eingeführt wurden, groß beworben. Erschienen ist die Aktualisierung in dieser Woche, um genau zu sein am 17. Oktober 2017. Wenig gesprochen haben die Redmonder überraschenderweise über TruePlay. Dabei... [mehr]

Windows 10: Spring Creators Update kommt als Version 1803

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Microsoft wird für Windows bald ein neues Update veröffentlichen. Das Update mit dem Codenamen Redstone 4 wird von Microsoft inzwischen auch als Versionsnummer 1803 geführt und soll einige Verbesserungen mitbringen. Das sogenannte Spring Creators Update soll nach derzeitigen Planungen im April... [mehr]

Windows 10 Fall Creators Update verbreitet sich schneller als frühere...

Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

Microsoft hat am 17. Oktober 2017 das Windows 10 Fall Creators Update veröffentlicht. Es handelt sich um das zweite große Windows-Update in diesem Jahr. Im Frühjahr erschien bereits das Creators Update. Bisher verbreitet sich die jüngst veröffentlichte Aktualisierung deutlich schneller... [mehr]