> > > > Neuer Mac-Trojaner tarnt sich mit Right-to-Left-Override Methode

Neuer Mac-Trojaner tarnt sich mit Right-to-Left-Override Methode

Veröffentlicht am: von

apple logoDie steigende Popularität des Apple-Betriebssystems Mac OS X birgt für seine Nutzer eine gravierende Schattenseite: Das immer größer werdende Interesse von Entwicklern für Schadsoftware. Nun ist eine neue und zugleich kuriose Mac-Malware aufgetaucht, die in der vergangenen Woche durch Webroot aufgedeckt wurde. Der neue Trojaner „OSX.Janicab.A“ setzt auf die Gutgläubigkeit des Nutzers, bedient sich dabei aber auch eines relativ simplen Tricks. Die Software tarnt sich als einfaches Text-Dokument im DOC- oder PDF-Format und lässt sich damit ganz einfach über E-Mail verbreiten. Wer den Anhang öffnet, startet zunächst allerdings kein Textdokument, sondern eine ausführbare Datei, die wie viele andere Programme bei der Installation unter Mac OS X nach dem Systempasswort fragen. Wird dieses eingegeben, ist der Apple-Rechner infiziert.

Eigentlich verhindert Mac OS X das Ändern der Dateierweiterung einer ausführbaren .app-Datei in PDF oder DOC. Um dem Nutzer später dennoch den Anschein zu geben, ein Textdokument und keine ausführbare Datei zu öffnen, bedienten sich die Malware-Entwickler eines simplen Tricks: Der „Righ-to-Left-Override“-Methode. Dabei setzen sie auf den Zeichencode U+202E, der bei Sprachen wie Hebräisch zum Einsatz kommt und das Schreiben von rechts nach links ermöglicht. Mit diesem Zeichencode kann der Malware-Autor im Charakter-Viewer von OS X die Datei-Endung seines Trojaners einfach ändern. Um später die richtige Erweiterung „PDF“ zu erhalten tippt er einfach „FDP“. Auch der Dokument-Name muss in der falschen Reihenfolge angepasst werden – schon ist das Dokument verschleiert.

Alarmglocken: Die von Mac OS X ausgegebene Warnmeldung ist beim Einsatz der „Righ-to-Left-Override“-Methode nicht wirklich verständlich.

Die Tarnung ist damit zwar gelungen, doch öffnet der Nutzer anschließend die Datei, ist auch die angezeigte Warnmeldung von Max OS X von rechts nach links geschrieben und somit eigentlich nicht wirklich verständlich. Spätestens hier sollten beim Anwender die Alarmglocken klingeln. Das Sicherheitstool Gatekeeper unter Mac OS X umgeht die Malware im Übrigen ebenfalls, da das Schadprogramm mit einer echten Entwickler-ID zertifiziert wurde. Sperrt Apple diese ID, greift allerdings auch dieser Schutz-Mechanismus wieder. Eine Bedrohung für eine große Nutzerschaft stellt der neue Trojaner „OSX.Janicab.A“ damit also nicht dar.

Social Links

Kommentare (3)

#1
customavatars/avatar107976_1.gif
Registriert seit: 04.02.2009
Hannover
Otaku :)
Beiträge: 2319
das gleiche wie unter windows also: die größte bedrohung sitzt immer noch vor dem bildschirm ;)
#2
customavatars/avatar87122_1.gif
Registriert seit: 13.03.2008

Kapitänleutnant
Beiträge: 1709
Fun Fact: ich kenne zig MacBook User deren Systeme offensichtlich ein Malware-Problem haben. Alle leugnen es aber, denn Viren/Malware gibt es ausschließlich bei Windows-Nutzern.

Ich frage mich, wie man darauf kommt, dass man durch den Kauf eines Apple-Geräts sofort zum IT-Profi wird.

Insofern ist die größte Bedrohung wirklich der (pseudo-elitäre Apple-)User.
#3
Registriert seit: 28.02.2013

Stabsgefreiter
Beiträge: 287
OSX ist von Haus aus relativ sicher es gibt bisher keinen bekannten Virus oder eine Malware die ohne dümmliches zutun des User installiert werden kann.

Leider gibt es dennoch einfach nur blinde Menschen die dennoch das Passwort eingeben werden und somit für sich selbst und andere eine Gefahr darstellen gegen diese Dummheit ist man sowieso niemals geschützt!

Einen Virusscanner würde ich trotzdem niemals installieren - was soll dieser unnötige Ballast?

Eines empfehle ich jedem OSX USer auf jedenfall:
Enzieht eurem User die Adminrechte - Standardmässig wird OSX leider so installiert - man kann somit nochmals mehr Sicherheit erlangen!
Für die nachträgliche Änderung geht man so vor:
Zweiten Account anlegen diesem Adminrechte geben und nachdem das gemacht wurde dem ursprünglichen Account die Adminrechte entziehen!
Auf keinen Fall sollte man den Namen des bestehenden User Accounts ändern oder sonstife Tricks probieren der von mir beschriebene Weg ist der sicherste - da passiert garantiert nix!
Man nutzt so seinen bestehenden Account wie bisher weiter - jedoch muss bei jeder Installation eines Programmes der Admin-Name + Passwort eingegeben werden.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • Meltdown- und Spectre-Patches für Windows, macOS und Linux

    Logo von IMAGES/STORIES/2017/INTEL

    Nachdem wir uns die Details zu den Sicherheitslücken Spectre und Meltdown nun genauer angeschaut haben, einige Benchmarks präsentieren konnten und eine Analyse mit der Beantwortung der wichtigsten Fragen gemacht haben, stellt sich vielen sicherlich die Frage, für welche Software es denn nun... [mehr]

  • Polaris oder Schalter: Microsoft arbeitet an Nachfolger für Windows 10 S

    Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

    Nicht einmal ein Jahr nach der Vorstellung von Windows 10 S droht das möglicherweise schnelle Aus. Denn seit einigen Tagen mehren sich die Meldungen, dass Microsoft an möglichen Alternativen arbeitet, die unterschiedlicher nicht sein könnten. Die eine würde aus der eigenständigen Version... [mehr]

  • Screen Sketch: Windows 10 erhält neues Screenshot-Tool

    Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

    Was bei Smartphones in Sekundenschnelle möglich ist, dauert mit Windows-Bordmitteln gerne etwas länger: Das Erstellen eines Screenshots sowie dessen Versand. Mit Redstone 5 könnte sich das aber ändern. Denn Microsoft hat über den Windows-10-Fast-Ring eine neue Testversion verteilt, die... [mehr]

  • Windows 10: Spring Creators Update kommt als Version 1803

    Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

    Microsoft wird für Windows bald ein neues Update veröffentlichen. Das Update mit dem Codenamen Redstone 4 wird von Microsoft inzwischen auch als Versionsnummer 1803 geführt und soll einige Verbesserungen mitbringen. Das sogenannte Spring Creators Update soll nach derzeitigen Planungen im April... [mehr]

  • Aus S wird S-Modus: Microsoft beerdigt Windows 10 S nach einem Jahr

    Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

    Vermutlich Anfang April wird Microsoft das nächste große Update für Windows 10 veröffentlichen, Codename Redstone 4. Welche Neuerungen enthalten sein werden, ist noch unbekannt. Eine dürfte jedoch der S-Modus sein, der Windows 10 S nach nur einem Jahr in den Ruhestand schicken soll.... [mehr]

  • Microsoft stoppt Windows 10 April 2018 Update für einige PCs mit Intel-SSD...

    Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

    Nur Stunden nach dem Start des Rollouts des Windows 10 April Update hat Microsoft einen schwerwiegenden Fehler entdeckt. Der Kreis der Betroffenen dürfte aber klein sein. Denn nur in Verbindung mit bestimmten SSDs aus dem Hause Intel kommt es zu Problemen. Eine Lösung gibt es allerdings noch... [mehr]