04.05.2017 Apple: Mac-Schädling spioniert Datenverkehr aus

Symbolbild

Eine Schadsoftware namens DOK befällt aktuell Geräte mit macOS-Betriebssystem. Der Schädling verfügte bis vor Kurzem über ein Apple-Entwicklerzertifikat und tarnt sich als System-Update.

DOK spioniert den verschlüsselten Datenverkehr von Mac-Computern aus. Der Schädling wird per Phishing-Kampagne verbreitet. Die E-Mail ist meist in englischer Sprache verfasst und gibt vor, dass es zu Unregelmäßigkeiten beim Steuerbescheid der Empfängerin oder des Empfängers gekommen ist. Dazu existiert eine deutschsprachige Variante der E-Mail, bei der vorgegeben wird, der Absender sei die Schweizer Steuerbehörde. Um das Problem zu beheben, müsse eine Datei herunterladen werden.

Die heruntergeladene ZIP-Datei ließ sich bis vor Kurzem ohne Warnung ausführen, da sie über ein Apple-Entwicklerzertifikat verfügte. Der Schädling installiert sich im Verzeichnis UsersShared. In der Folge scheint jedoch ein Fenster auf, in dem es heißt, dass ein Sicherheitsproblem identifiziert worden sei. An dieser Stelle erfolgt eine Aufforderung, das Administratorenpasswort einzugeben. Im Anschluss wird ein neues Zertifikat installiert, das das Abhören von HTTPS-Verbindungen erlaubt.

Das Hauptfenster des Schädlings ist im Look von Apples App Store gehalten. Apple wurde bereits über die Attacken informiert und hat mittlerweile das Entwicklerzertifikat für DOK zurückgezogen. Die Schadsoftware verbreitet sich in erster Linie in Europa.

Weitere Informationen:

Datum der Veröffentlichung: 04.05.2017

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria