Die in Angriffen auf Facebook verwendete OSX Backdoor ist an Gatekeeper vorbeigekommen

Eine neue Mac OS X Malware-Familie, die Computersysteme der Unternehmen Facebook, Twitter, Apple und Microsoft gefährdet hat, verwendet eine Exploit-Methode, um den Basis Schutzmechanismus in OS X zu umgehen.

Eingeführt in Mac OS X Mountain Lion, agiert Gatekeeper als Steuermechanismus für das Erlauben bzw. Blockieren von Software, abhängig von ihrer Quelle. Gatekeeper hat 3 Sicherheitsniveaus, die dem Mac OS X User erlauben, folgende Applikationen zu installieren:

a)      von jeder Quelle, egal ob der Code signiert oder unsigniert ist;

b)      nur aus dem AppStore heruntergeladene Anwendungen oder

c)      Applikationen aus dem AppStore oder die von einem Entwickler digital signierten Applikationen

Standardmäßig lässt Gatekeeper nur die Anwendungen aus dem AppStore oder die, die von einem Entwickler digital signiert wurden, zu. Das sollte die Auswirkungen von Malware minimieren. Letzten Endes sind die aus dem AppStore heruntergeladenen Applikationen auch von Apple signiert und Entwickler von vertrauenswürdigen Anwendungen würden sie selten mit bösartigem Code „aufpeppen“.

Um das erste Niveau zu umgehen, haben sich die Entwickler der Malware Mac.OSX.Backdoor.Pintsized.A auf einen nicht dokumentierten Exploit berufen. So konnten sie Gatekeeper täuschen und unsignierte Applikationen unabhängig von dem eingesetzten Sicherheitsniveau ausführen. Der Gatekeeper Kompromiss hängt wahrscheinlich mit dem Java Exploit, das auch die Backdoor mitliefert, zusammen.

Nachdem Pintsized.A an Gatekeeper vorbeigekommen ist und sich festgesetzt hat, kann die Malware eine Kommunikation mit einem Kontrollcenter einrichten und wartet dann auf weitere Befehle. Um die Erkennung komplexer zu machen, falls der entstehende Traffic am Netzwerk-Perimeter überprüft wird, verschlüsselt die Backdoor den Traffic mit einer veränderten Version des OpenSSH Tools.

Bitdefender Antivirus für den Mac erkennt bekannte Versionen der Backdoor, z. B Mac.OSX.Backdoor.Pintsized.A und Trojan.Script. Wir bieten auch einen kostenlosen Virenscanner für Mac OS X im AppStore an.

rn