Frankfurt, 8. Mai 2019

Die Virenanalysten von Doctor Web spürten einen Schädling für macOS auf, der auf Rechnern einen beliebigen Schadcode auf Python ausführen lassen kann. Webseiten, die diese Malware verbreiten, infizieren mit der Spyware auch Windows-Nutzer.

Eine neue Bedrohung für macOS wurde von den Virenanalysten von Doctor Web am 29. April entdeckt. Der Schädling wird unter dem Namen Mac.BackDoor.Siggen.20 geführt und stellt eine Backdoor dar, die einen Schadcode von einem Remote-Server herunterladen und ausführen kann.

Mac.BackDoor.Siggen.20 gelangt auf Rechner über Webseiten der Schadcode-Entwickler. Eine solche Webseite ist normalerweise als simple Webseite mit einem Portfolio einer fiktiven Person konzipiert. Ein weiteres Beispiel ist eine Webseite, die als WhatsApp maskiert ist.

Beim Aufrufen dieser Webseiten bestimmt der eingebettete Schadcode das Betriebssystem des Nutzers und lädt je nach Betriebssystem eine Backdoor oder einen Trojaner auf den Rechner herunter. Ein macOS-Nutzer wird also mit dem Mac.BackDoor.Siggen.20 und ein Windows-Nutzer mit dem BackDoor.Wirenet.517 (NetWire) infiziert. Der Letztere ist auch als RAT-Trojaner bekannt, über den Cyber-Kriminelle einen Computer des Opfers, u.a. durch Einsatz von Kamera und Mikrofon, entfernt steuern können. Der verbreitete RAT-Trojaner verfügt wirklich über eine digitale Signatur.

Gemäß Angaben der Virenanalysten von Doctor Web wurde die Webseite, die den Mac.BackDoor.Siggen.20 unter dem Deckmantel von WhatsApp verbreitet, von mindestens 300 Besuchern mit einzigartigen IP-Adressen geöffnet. Die Webseite ist seit dem 24. März 2019 aktiv und wurde durch Hacker in groß angelegten Kampagnen noch nicht eingesetzt. Die Sicherheitsexperten von Doctor Web empfehlen deshalb, vorsichtig zu sein und die Virenschutzsoftware auf einem aktuellen Stand zu halten. Zum jetzigen Zeitpunkt können alle Komponenten von Mac.BackDoor.Siggen.20 nur durch Dr.Web erfolgreich aufgespürt werden.

Mehr zur Bedrohung