Schlagwort-Archive: MacOS

XCSSET Update: Browser Debug-Modus, inaktive Ransomware möglich

Originalartikel von Mac Threat Response, Mobile Research Team

Trend Micro hatte bereits über XCSSET berichtet und die ziemlich einzigartige Gefahr für Xcode-Entwickler aufgezeigt. Der Eintrag stellte zudem die Möglichkeiten dar, wie Kriminelle macOS-Schwachstellen missbrauchen, um den maximalen Gewinn aus infizierten Maschinen zu ziehen. Die Erforschung der Bedrohung geht weiter, und hier sollen einige Aspekte deren Verhalten zur Sprache kommen.

Die wichtigsten neuen Erkenntnisse zu der Bedrohung sind folgende:

  • XCSSET kann den Debug-Modus auch anderer Browser missbrauchen, ähnlich dem Verhalten in Safari;
  • Zudem beinhaltet die Bedrohung potenzielle Ransomware-Fähigkeiten, auch wenn diese nicht implementiert wurden.

Ein technisches Briefing enthält weitere Details.

Remote Debug-Modus für weitere Browser

Auch wenn sich XCSSET speziell auf Safari konzentriert, so beinhaltet die Malware andere Module, die auf weitere Browser zielen. Das Verhalten dahinter ist ähnlich – die Browser können im Debugging/Entwickler-Modus laufen, sodass die Browser gekapert und ein Universal Cross-Site Scripting (UXSS)-Angriff durchgeführt wird. Die folgenden Browser (neben Safari) sind betroffen:

  • Brave
  • Google Chrome
  • Microsoft Edge
  • Mozilla Firefox
  • Opera
  • Qihoo 360 Browser
  • Yandex Browser

Die beste Verteidigung gegen diesen Angriff wäre die Beschränkung des Zugriffs auf den Debugging-Modus, möglicherweise über eine Art von Passwortauthentifizierung. Als Alternative sollte der Benutzer eine Benachrichtigung erhalten, wenn sich ein Remote-Debugger mit dem Browser verbindet. Von den oben genannten Browsern tut dies insbesondere Firefox als Teil seiner Standardkonfiguration:

Bild 1. Firefox Debug-Anfrage

Inaktive Ransomware-Fähigkeiten

Im Zuge der Recherche fanden die Forscher zusätzliche Module, die XCSSET laden kann, unter anderem ein Ransomware-Modul. Die Experten halten es für inaktiv, weil die Zeile für die Ausführung der Verschlüsselung auskommentiert ist.

Der Grund des Angreifers dafür ist unklar. Basierend auf der Code-Analyse verschlüsselt das Modul alle Dateien auf dem Desktop, den Ordner „Dokumente“ und „Downloads“ (sofern sie unter 500 MB gross sind). Laut der Lösegeldforderung beträgt dieses 0,5 BTC oder etwa 5.700 US-Dollar.

Trend Micro-Lösungen

Zum Schutz der Systeme vor dieser Art von Bedrohung sollten Benutzer nur Anwendungen von offiziellen und legitimen Marktplätzen herunterladen. Auch hilft eine mehrschichtige Sicherheitslösung wie Trend Micro Maximum Security mit ihrem umfassenden Schutz für mehrere Geräte. Unternehmen können auch Trend Micro Smart Protection Suites mit XGen™-Sicherheit einsetzen.

OSX-Schadsoftware mit Verbindung zu Operation Emmental kapert Netzwerkverkehr

von Rubio Wu, Threats Analyst

Die OSX_DOK-Schadsoftware (Trend Micro erkennt sie als OSX_DOK. C) zielt auf Maschinen mit dem OSX-Betriebssystem von Apple und umfasst fortgeschrittene Funktionalitäten, etwa für den Missbrauch von Zertifikaten und Umgehung von Sicherheitssoftware. Die Schadsoftware zielt in erster Linie auf Banking-Nutzer in der Schweiz. Sie nutzt eine Phishing-Kampagne, um die Payload abzulegen, die dann über einen Man-in-the- Middle (MitM)-Angriff den Netzwerkverkehr eines Nutzers kapert. OSX_DOK.C scheint eine weitere Version von WERDLOD (von Trend Micro als TROJ_WERDLOD identifiziert) zu sein, eine Schadsoftware, die in den Operation Emmental-Kampagnen zum Einsatz kam – eine interessante Entwicklung.

Übertragungsmethode und Infektionsablauf



Bild 1: OSX_DOK.C-Infektionsroutine für Mac-Systeme

OSX_DOK.C wird über eine Phishing-Mail verbreitet, die bestimmte Dateien enthält, entweder als .zip oder .docx. Die von den Sicherheitsforschern von Trend Micro analysierten Samples umfassten eine Nachricht, die vorgeblich von einer Polizeiinspektion in Zürich kam und behauptete, den Empfänger erfolglos kontaktiert zu haben. Zwei angehängte Dateien gaben vor, Fragen für den Nutzer zu enthalten: eine .zip-Datei ist eine gefälschte OSX-App, während die andere .docx-Datei dazu verwendet wird, dieWindows-Betriebssysteme über WERDLOD anzupeilen. Beide Samples arbeiten als Banking-Trojaner und liefern ähnliche Funktionalitäten.

Einige Beispiele von Dateien, die im Mail-Anhang eingesetzt wurden, sind die folgenden:

  • Zahlungsinformationen 01.06.2017.zip
  • Zahlungsinformationen digitec.zip
  • zip
  • Dokument 09.06.2017.zip
  • Dokument 09.06.2017.docx
  • docx
  • docx
  • 06.2017.docx

Weiterlesen