Client-Security: Botnet mit mehr als 550.000 Macs entdeckt


    Tags: , ,

    Dass Mac-Rechner im Vergleich zu Windows-Systemen "besser" sind, wenn es um den Befall mit Schadsoftware geht, ist es Mythos. Der aber ist nicht tot zu kriegen. Das unterstreicht die Meldung der russischen IT-Sicherheitsfirma Doctor Web. Sie hat ein Botnet entdeckt, das aus mehr als einer halben Million Macintosh-Systemen besteht.

    Das Unternehmen stieß auf das Netz mit gekaperten und ferngesteuerten Mac-OS-X-Systemen, als es Verbreitungsmethoden des Trojaners BackDoor.Flashback untersuchte. Die meisten der infizierten Rechner sind demnach in den USA beheimatet (56,6 % oder 303.000 Macs), gefolgt von Kanada (19,8 % oder 106.000 infizierte Computer) und Großbritannien (12,8 % oder rund 69.000 Systeme) Deutschland ist mit nur 0,4 Prozent hingegen kaum betroffen. Ein Grund dafür ist sicherlich, dass Mac-Systeme im angelsächsischen Raum beliebter sind als hier zu Lande.

    Update installieren

    Nicht gegen Cybercrime gefeit: MacOS XDie Sicherheitsspezialisten von Doctor Web empfehlen Mac-Anwendern, das Sicherheits-Update von Apple unter support.apple.com/kb/HT5228 herunterzuladen und zu installieren, um sich gegen BackDoor.Flashback.39 zu schützen. Die Infizierung durch BackDoor.Flashback.39 erfolgt über infizierte Websites und Datenübertragungssysteme (Traffic Direction System), die Mac OS X-Anwender auf bösartige Web-Seiten weiterleiten. Diese Webseiten enthalten ein Java-Script, das in den Browser ein Java-Applet mit dem Exploit herunterlädt.

    In Apple-Foren wurden auch Infektionen durch BackDoor.Flashback.39 beim Aufrufen von dlink.com bekannt. Seit Februar 2012 nutzen die Kriminellen zur Verbreitung von Malware die Sicherheitslücken CVE-2011-3544 und CVE-2008-5353 aus. Nach dem 16. März wurde eine weitere Lücke (CVE-2012-0507) bekannt. Ein entsprechendes Sicherheits-Update wurde erst am 3. April 2012 veröffentlicht.

    Klassische Funktionsweise

    Der Exploit speichert auf der Festplatte eine ausführbare Datei, die Daten von Remote-Servern herunterladen soll. Die Sicherheitsspezialisten von Doctor Web entdeckten zwei Versionen des Trojaners. Seit dem 1. April verwenden Internet-Kriminelle eine modifizierte Variante von BackDoor.Flashback.39. Wie in den vorherigen Versionen durchsucht das Programm den Mac auf vorhandene Client-Security-Software, etwa VirusBarrier oder Avast.

    Sollten diese nicht gefunden werden, erstellt der Trojaner eine Liste von Control-Servern und sendet eine Nachricht über die erfolgreiche Installation an den Statistikserver der Cybergangster. Solche ferngesteuerten Systeme werden beispielsweise zum Versand von Spam oder für Denial-of-Service-Angriffe (DoS) verwendet. Sie dienen jedoch auch als Ausgangspunkt für zielgerichtete Angriffe auf Systeme einzelner Firmen und Forschungseinrichtungen.

    Keine Kommentare