Datenschutz & Sicherheit

Malvertising: Suche nach Standardbefehlen für Macs liefert Infostealer


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

.

Eine perfide Masche nutzen Cyberkriminelle derzeit im Netz, um arglose Nutzer zur Installation von Malware zu bewegen. Bei der Suche nach Standardbefehlen für macOS leiten die Ergebnisse auf Webseiten, die zwar Befehle anzeigen – anstatt die gesuchte Funktion auszuführen, verankern die jedoch Infostealer im System.



Werbung zu den Suchergebnissen leitet auf eine Malware-Seite.

(Bild: heis eonline / cku)

Die Suche auf Google etwa nach dem macOS-Befehl zum Entleeren des DNS-Cache mittels „mac flush dns cache“ liefert in der Werbung der Ergebnisliste eine Webseite zurück, die vorgibt, den Befehl zu erläutern. Die URL mac-safer[.]com zeigt nach Klick an, wie der Befehl aufzurufen sei.



Die beworbene Webseite zeigt einen Befehl an, der jedoch Schadsoftware herunterlädt und installiert.

(Bild: heise online / cku)

Der Befehl beginnt jedoch /bin/bash -c "$(curl -fsSL $(echo … und hat keinerlei Ähnlichkeit mit üblichen Befehlen zum Löschen von DNS-Caches (sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder – wobei der Aufruf mit sudo legitim zu einer Passwort-Abfrage führt). Die Webseite kündigt zudem an, dass bei dem Befehlsaufruf das Passwort abgefragt werde. Hier erfolgt das jedoch in böswilliger Absicht.

Malvertising: Befehl lädt und installiert Infostealer

Der Befehl entrümpelt jedoch mitnichten den DNS-Cache, sondern lädt einen Schädling von „icloudservers[.]com“ nach, mit dem Namen „install.sh“. Das Script wird ausgeführt und fragt das Passwort ab, was es mit dem Befehl „dscl“ überprüft, und startet die Datei „update“. Es handelt sich laut Virustotal-Erkennungen – nur wenige VIrenscanner schlagen darauf an – um einen Info-Stealer, der es demnach auf Informationen abgesehen hat. Klassischerweise geht es dabei um Zugangsdaten zu Diensten, aber auch Krypto-Wallets sind oftmals im Visier solcher Malware.

Auf der bösartigen Webseite bieten die Drahtzieher noch vermeintliche Lösungen für weitere Probleme an.



Die beworbene bösartige Webseite gibt vermeintliche Lösungen für weitere Problemstellungen. Alle verteilen natürlich Malware.

(Bild: heise security / ju)

Ironisch ist etwa die Unterseite „How to Remove Malware from Your Mac“ – das soll offenbar mit der Infostealer-Malware klappen. Aber auch andere häufige Suchanfragen deckt die Webseite ab: Überhitzungsprobleme des Macs lösen, Speicherplatz freiräumen auf dem Mac, nicht-funktionierende Kamera am Mac in Gang bringen und diverse mehr.

Malvertising bleibt ein andauerndes Problem. Anfang des Jahres haben Kriminelle etwa versucht, mit einer Imitation der Homebrew-Website Mac-Nutzerinnen und -Nutzern Schadcode unterzujubeln.


(dmk)



Source link

Verwandte Themen:

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Beliebt

Die mobile Version verlassen