Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Das Threat-Labs-Team von Jamf, Anbieter für die Verwaltung und den Schutz von Apple-Geräten, hat ein neues Sicherheitsrisiko identifiziert. Es ermöglicht Unbefugten den Zugriff auf das Endgerät des Nutzers.

Dabei handelt es sich um eine ausführbare Datei, die der Malware ZuRu ähnelt und die in einer Reihe raubkopierter macOS-Anwendungen versteckt ist. Diese raubkopierten Anwendungen werden Nutzern auf verschiedenen in China gehosteten Raubkopie-Webseiten zum Download angeboten.

Die versteckte, ausführbare Datei wird zusammen mit dem Start der raubkopierten Anwendung ausgeführt und stellt im Hintergrund eine Verbindung mit dem System des Angreifers her. Die Datei nutzt den Namen eines betriebssystemeigenen Prozesses und wird zumindest von der Viren- und Malware-Datenbank VirusTotal nicht als schädlicher Prozess erkannt.

Die Datei, mit der Angreifer sich Zugang zu einem System oder Endgerät verschaffen können, verfügt über mehrere Eigenschaften, die denen der 2021 von Objective-See und Trend Micro identifizierten Malware ZuRu ähneln. ZuRu wurde ebenfalls in raubkopierten Anwendungen entdeckt, darunter iTerm, SecureCRT, Navicat Premium und dem Microsoft Remote Desktop Client. Bei der Ausführung dieser Anwendungen stellte ZuRu im Hintergrund eine Verbindung zu einem Angreifer-Server her, auf den es sensible Daten aus dem angegriffenen System oder Endgerät hochlud.

Das Team der Threat Labs von Jamf konnte insgesamte drei raubkopierte Anwendungen identifizieren, die diese versteckte, ausführbare Datei enthalten. Alle drei wurden auf einer chinesischen Website gehostet, auf der Nutzer Links zu raubkopierter Software finden können. Ähnlich zur 2021 identifizierten Malware ZuRu scheinen auch bei der neuen Malware primär chinesische Nutzer das Ziel der Angreifer zu sein, genau wie die Angreifer selbst: Verbindungen, die von der Malware zum Angreifer hergestellt werden, beziehen sich ebenfalls auf chinesische IP-Adressen.

Grundsätzlich ist jedoch jeder Nutzer, der eine entsprechende, raubkopierte Anwendung herunterlädt und ausführt ein potenzielles Opfer dieser neuen Malware. Eine besondere Schwierigkeit beim Schutz von Nutzern besteht in diesem Zusammenhang darin, dass Nutzer, die raubkopierte Software verwenden, bereits damit rechnen, dass diese Software von Sicherheits-Tools als Risiko eingestuft werden. Dementsprechend werden Sicherheitswarnungen in diesen Situationen von den Nutzern oft bewusst ignoriert.
 

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema

Weitere Artikel zu Jamf

Gefälschter Flugmodus

Jamf Threat Labs: Smartphones gefährdet

Jamf erweitert Protect-Lösung

Verbesserte Endpoint-Telemetrie für macOS

Jamf mit App Installers und BYOD-Angebot

Einfachere Apple-Nutzung im Unternehmen

Jamf: Sicherheit durch Microsoft-Integration

Mac-Sicherheitsfunktionen für Azure Sentinel

Jamf Protect mit Malware-Prävention

Schutz für macOS-Endpunkte

Weitere Artikel zu Jamf Software

Hersteller verstärkt Vertriebsteam in DACH

Michael Hiebinger wird Channel-Manager bei Jamf

Jamf profitiert vom Apple-Boom

»Können uns vor Arbeit kaum retten«

Weitere Artikel zu Apple GmbH

Neuer Look statt großer Wurf

Apple setzt auf „flüssiges Glas" und mehr KI-Funktionen

„Dreistes Greenwashing"

Gericht bezweifelt Klimaneutralität der Apple Watch

Geräte für die KI-Ära

OpenAI holt einstigen iPhone-Designer

Mobiles und lokales Filemanagement

OpenCloud bringt Desktop- und iOS-App für Dateizugriff

Killt KI die Google-Suche?

Apple-Manager schickt Google-Aktie auf Talfahrt

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

VAD erweitert Portfolio

ICOS und Avast schließen Partnerschaft