Obwohl ein paar Wenige immer noch gegenteiliger Meinung sind: Mac-Systeme sind angreifbar. Und sie werden von Hackern und Cyber-Kriminellen seit Jahrzehnten aufs Korn genommen. Der neueste Report der SophosLabs “ New Bundlore Adware Targets MacOS with Updated Safari Extensions “ beleuchtet einen interessanten Teil dieses wachsenden Trends.

Der aktuelle Report der SophosLabs behandelt speziell eine aggressive Malware-Art für Mac-Systeme, die als „Bundleware“ bezeichnet wird. Bei der neusten Bundleware namens Bundlore handelt es sich um ein Software-Installationsprogramm, das gleich mehrere unerwünschte Anwendungen unter dem Deckmantel einer einzigen legitimen Anwendung installiert.

Die Schadsoftware enthält sieben unerwünschte Anwendungen, sogenannte PUAs. Allein drei dieser PUAs zielen auf den Safari-Webbrowser ab. Sie injizieren Werbung, kapern Download-Links und Suchanfragen und leiten diese um, damit die Bösewichte mit den Klicks der Benutzer Kasse machen können. Hauptangriffsziel ist MacOS Catalina.

Bundlore ist zweithäufigste Angriffsart auf MacOS

PUAs zählen grundsätzlich zu den häufigsten Datenschutz- und Sicherheitsbedrohungen für MacOS. Da sie geeignet sind, persönliche Daten zu stehlen oder als Wegbereiter für Malvertising und andere Schadware zu dienen, werden PUAs in der Regel von Endpoint-Protection-Produkten, wie etwa auch von den Sophos Security-Lösungen, blockiert.

Das gilt auch für Bundlore, denn es ist eine der gebräuchlichsten Bundleware für die MacOS-Plattform. Bundlore ist für fast sieben Prozent aller von Sophos erkannten Angriffe auf MacOS verantwortlich und damit nach Genieo die zweithäufigste Bedrohung für dieses Betriebssystem.

Was allerdings die jüngsten Bundlore-Versionen von früheren unterscheidet, ist die Art und Weise, wie sie auf den neuesten Stand gebracht wurde, um mit den Änderungen und Updates für MacOS und Safari Schritt zu halten – insbesondere mit Apples Formatänderungen in den Safari-Browser-Erweiterungen.

Da Bundleware wirksam von vielen Schutzprogrammen blockiert wird, wenden Adware- und andere PUA-Entwickler möglichst wirksame Ausweichtaktiken an. Die Entwickler von Bundlore verwenden gleich ein ganzes Set von Taktiken, um ihre Installationsprogramme zu verschleiern. Dazu gehören beispielsweise Bash-Shell-Skripte, die Installationsanwendungen entschlüsseln und in temporäre Verzeichnisse schreiben, die wiederum zusätzliche Installationsprogramme starten. Die von den SophosLabs untersuchten Beispiele wurden zum größten Teil über Apple Disk-Image-Dateien (.dmg) eingeschleust, die sich als Installer für Video- oder medienbezogene Software tarnen.

Michael Veit, Technology Evangelist bei Sophos fasst es so zusammen: „Mit der wachsenden Beliebtheit und steigenden Verbreitung von Mac Rechnern geben diese für Hacker und Cyber-Kriminelle noch lukrativere Ziele ab, als sie es bereits seit vielen Jahren sind. Und wie bei Windows-Betriebssystemen müssen die Ganoven ihre Schadware und ihre Methoden kontinuierlich anpassen, um mit dem Fortschritt und den Neuerungen in Apples MacOS und Safari Schritt halten zu können. Mac-Benutzer sollten daher sehr vorsichtig sein, wenn sie Software aus unbekannten Quellen herunterladen, insbesondere wenn eine unbekannte App versucht, Browser-Erweiterungen zu installieren. Der sicherste Weg allerdings ist eine wirksame Endpoint-Security-Lösung und der Verzicht auf Software-Downloads, die von unbekannten Anbietern und Plattformen stammen.“ (rhh)

Sophos