Vorsicht: Mac-Malware tarnt sich als Clipboard-Manager
Jamf Threat Labs warnt vor einer neuen Malware, auf die Nutzer des Clipboard-Managers „Maccy“ von Drittanbietern achten sollten. Die als „PamStealer“ bezeichnete Malware wird über bösartige Websites verbreitet, die sich als die echte Maccy-Website ausgeben, und enthält Dateien zum Herunterladen, die den Besuchern vorgaukeln, es handele sich um legitime Maccy-Dateien.
Bei den gefälschten Dateien handelt es sich um Applescript-Dateien mit der Endung „Maccy.scpt“, die so gestaltet sind, dass sie wie legitime Installationsdateien aussehen, und die über Disk-Images verbreitet werden. Wird das Skript gestartet, werden die Nutzer aufgefordert, es auszuführen, woraufhin die Schadfunktion ausgelöst wird, die Informationen auf Ihrem Mac erfassen und an einen Angreifer senden kann. Der Name „PamStealer“ bezieht sich darauf, dass die Malware das Anmeldekennwort des Opfers über die „Pluggable Authentication Modules“ (PAM) von macOS überprüft.
Um das Herunterladen der schädlichen Dateien zu vermeiden, sollten Maccy-Kunden sicherstellen, dass sie die Website maccy.app besuchen. Laut einem Haftungsausschluss auf dieser Website ist „maccy.app die einzige offizielle Website“. Kunden können auch die Maccy-GitHub-Website unter https://github.com/p0deje/Maccy besuchen, auf der ebenfalls angegeben ist, dass „maccy.app die einzige offizielle Website ist“.
Maccy ist ein kostenloser Open-Source-Zwischenablage-Manager, der den Verlauf der Zwischenablage aufzeichnet. Apple hat erst kürzlich in macOS Tahoe über Spotlight eine Funktion zur Verfolgung des Zwischenablageverlaufs eingeführt, weshalb diese Manager von Drittanbietern bei Power-Usern beliebt sind. Wie Jamf jedoch erläutert, könnte der Verbreitungsmechanismus dieser speziellen Bedrohung weitreichende Auswirkungen haben, die über diese bestimmte App hinausgehen:
Obwohl Disk-Images und AppleScript-basierte Malware unter macOS bereits seit Langem bekannt sind, kombiniert PamStealer diese auf interessante Weise. Anstatt auf Shell-Befehle wie
„curl“oder„zsh“zurückzugreifen, führt das AppleScript einen eigenständigen JavaScript for Automation (JXA)-Downloader aus, der die Nutzlast mithilfe nativer Objective-C-APIs abruft und bereitstellt. In Kombination mit einer auf Rust basierenden zweiten Stufe und einem Workflow zur Passworterfassung, der Anmeldedaten lokal über PAM validiert, ergibt sich eine unauffälligere Ausführungsfolge, als wir sie typischerweise bei handelsüblichen macOS-Stealern beobachten.
Der Bericht geht ausführlich darauf ein, wie der Angriff die Nutzer täuscht, und kommt zu folgendem Schluss: „Zusammengenommen veranschaulichen diese Verhaltensweisen, wie sich handelsübliche macOS-Stealer weiterentwickeln, indem sie unauffälligere Ausführungsabläufe und native Implementierungen nutzen, die herkömmliche Erkennungsmöglichkeiten verringern und gleichzeitig mit den Standardfunktionen von macOS kompatibel bleiben.“
So schützen Sie sich vor Malware
Der einfachste Weg, sich vor Malware zu schützen, besteht darin, das Herunterladen von Software von unbekannten Download-Seiten zu vermeiden. Öffnen Sie niemals Links in E-Mails oder SMS, die Sie von unbekannten und unerwarteten Absendern erhalten. Wenn Sie eine Nachricht erhalten, die so aussieht, als stamme sie von einem Unternehmen, mit dem Sie geschäftlich zu tun haben, überprüfen Sie die E-Mail-Adresse des Absenders und sehen Sie sich die URL genau an. Wenn Sie einen Link oder eine Schaltfläche sehen, können Sie mit der Ctrl-Taste darauf klicken, „Link-Adresse kopieren“ auswählen und diese dann in einen Texteditor einfügen, um die tatsächliche URL dort zu überprüfen.
Apple hat die Software im Mac App Store geprüft, und dies ist der sicherste Weg, um Apps zu beziehen. Wenn Sie den Mac App Store nicht nutzen möchten, kaufen Sie Software direkt beim Entwickler über dessen Website. Wenn Sie darauf bestehen, geknackte Software zu verwenden, gehen Sie stets das Risiko ein, sich Malware einzufangen.
Wir haben für Sie mehrere Ratgeber zum Thema erstellt, klären etwa die Frage, ob Sie Antivirensoftware benötigen oder nicht, zeigen eine Liste von Mac-Viren, Malware und Trojanern und vergleichen Mac-Sicherheitssoftware.
Discussion in the ATmosphere