Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Komplexe Mac-Malware holt sich per Safari Admin-Rechte im Vorbeisurfen

Der "DazzleSpy" genannte Schädling kann Macs fernsteuern und alle Daten absaugen. Er nutzt dazu eine komplizierte Exploit Chain.

In Pocket speichern vorlesen Druckansicht 119 Kommentare lesen

(Bild: Alberto Garcia Guillen/Shutterstock.com)

Lesezeit: 2 Min.
Mac & i
Von

Ein Sicherheitsunternehmen hat einen Datenschädling entdeckt, der offenbar dazu diente, die Macs von Freiheitsaktivisten in Hongkong zu übernehmen. Die Malware, die von ESET "DazzleSpy" getauft wurde, ist durchaus speziell: Sie soll spezifisch auf macOS gemünzt sein, ohne dass es ein Windows-Vorbild gibt, wie dies sonst häufig der Fall ist. Zudem umfasst sie eine komplexe Exploit-Chain und hatte eine hochgefährliche Verbreitungsmethode: Es soll ausgereicht haben, mit dem Apple-Browser Safari einfach auf einer präparierten Website vorbeigesurft zu sein, um sich DazzleSpy einzufangen.

Staatlicher Akteur?

ESETs Angaben zufolge kommt die Malware mit Spyware-Funktionen. Jedes befallene Gerät wurde einem Fingerprinting unterzogen, um den Hintermännern Details zu den Aktivitäten des Benutzers zu übermitteln. DazzleSpy kam ansonsten mit einem Keylogger, konnte Screenshots ziehen, Dateien hoch- und herunterladen, Terminal-Kommandos ausführen sowie Audioaufnahmen des Umfelds anfertigen.

Wer hinter DazzleSpy steckt, ist noch unklar, ESET vermutet aber, dass es sich um einen Akteur mit tiefen Taschen handelt – womöglich mit staatlichem Hintergrund. Dieser sei in der Lage, komplexe Ausnutzungsketten zu erstellen und eine komplett eigene Spyware zu produzieren. Befallene Macs liefen einfach weiter, während die Angreifer Administratorenrechte hatten, die sie über einen Command & Control-Server, der über TLS-verschlüsselte Verbindungen angesprochen wurde, ausübten.

Komplex und mächtig

Die von DazzleSpy ausgenutzten Lücken sollen mittlerweile gestopft worden sein, ein Sicherheitsteam bei Google hatte sie bereits im Herbst entdeckt. Die Angreifer nutzten Fehler in Apples Browser-Engine WebKit, mit denen sich Code ausführen ließ. Der Exploit lief mehrstufig ab und enthielt umfangreichen JavaScript-Code.

Schließlich wurde ein bösartiges Mach-O-Executable ausgeführt, das der Malware Root-Rechte verschafft. Alles in allem landet schließlich ein Datenschädling mit Administratorrechten auf dem Mac, ohne dass der Nutzer etwas davon merkt. Insgesamt soll DazzleSpy über eine Suite aus 21 verschiedenen Kommandos verfügt haben, die die überfallene Maschine komplett offenlegen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(bsc)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Mac OS X

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten