Mac-Malware Fruitfly kann Maus und Tastatur bedienen sowie Webcam einschalten

SicherheitVirus

Fruitfly blieb wahrscheinlich mehrere Jahre unentdeckt. Die neue Variante der Malware erlaubt es Angreifern, aus der Ferne die vollständige Kontrolle zu übernehmen. Laut Sicherheitsforscher Patrick Wardle ist unklar, ob Macs mit aktuellen OS-Versionen gegen die neuentdeckten Fruitfly-Varianten immun sind.

Patrick Wardle, Chief Security Researcher beim Sicherheitsanbieter Synack, hat eine neue Variante der Mac-Malware Fruitfly untersucht. Die erstmals im Januar entdeckte Schadsoftware erlaubt es Hackern, aus der Ferne die vollständige Kontrolle über einen infizierten Apple-Computer zu übernehmen. Unter anderem sind Zugriffe auf Dateien, Webcam, Bildschirm, Tastatur und Maus möglich.

Malwarebytes (Bild: Malwarebytes)

Fruitfly blieb Wardle zufolge wahrscheinlich über einen Zeitraum von mehreren Jahren unentdeckt, da “die heutige Mac-Sicherheitssoftware oftmals recht ineffektiv ist”. Auf sie aufmerksam wurden Sicherheitsforscher von Malwarebytes bei der Analyse einer Sicherheitslücke in macOS, die für zielgerichtete Angriffe benutzt wurde.

Apple habe die fragliche Schwachstelle in seinem Betriebssystem zwar beseitigt, es sei aber nicht klar, ob Macs mit aktuellen OS-Versionen immun gegen die neuen Fruitfly-Varianten seien. Vor den frühen Versionen seien Macs jedoch inzwischen geschützt.

Rund 90 Prozent der Opfer von Fruitfly finden sich offenbar in den USA. Wardle vermutet, dass es sich um einen Einzeltäter handelt und nicht um Hacker, die mit staatlicher Unterstützung handeln. Sein Ziel sei es, Nutzer auszuspähen, um “perverse” Bedürfnisse zu befriedigen. Zur Zahl der Betroffenen wollte Wardle keine Schätzung abgeben, er gehe aber davon aus, dass Fruitfly nicht sehr weit verbreitet sei.

Ausgewähltes Whitepaper

Keine digitale Transformation ohne Software-Defined Networking

Unternehmen setzen auf die Digitalisierung. Manche haben bereits Maßnahmen eingeleitet, andere bereiten sich darauf vor. Dieses Whitepaper untersucht, welchen Beitrag die Cloud dabei leisten kann.

“Ich glaube, dass der Angreifer verschollen ist”, ergänzte Wardle. “Ich glaube also nicht, dass Leute weiterhin mit der Malware angegriffen werden. Wahrscheinlich war auch eine Interaktion mit dem Nutzer erforderlich, um einen Mac zu infizieren. Aber die Malware selbst läuft immer noch auf macOS.”

Für seine Analyse entwickelte Wardle einen eigenen Befehlsserver, um die Kommunikation der Malware aufzeichnen zu können und ihre Funktionen zu dokumentieren. “Das interessanteste Feature ist, dass die Malware eine Benachrichtigung schicken kann, wenn ein Nutzer aktiv ist”, so Wardle weiter. Das erlaube es dem Angreifer, sich zurückzuziehen und einer Erkennung zu entgehen. “Das habe ich vorher noch nicht gesehen.”

Eine Liste mit Opfern der Malware, deren Macs sich zwischenzeitlich mit seinem Befehlsserver verbanden, hat Wardle inzwischen an Strafermittler übergeben. “Man muss erkennen, dass man auch als gewöhnlicher Nutzer das Opfer von wirklich heimtückischen Angriffen werden kann. Das ist ein weiterer Beleg dafür, dass Macs genauso angreifbar sind wie andere Computer.”

Mehr zum Thema

WannaCry: Armutszeugnis für betroffene Unternehmen

WannaCry konnte sich vor allem deshalb so schnell verbreiten, weil IT-Verantwortliche in den betroffenen Unternehmen und Organisationen verfügbare Sicherheitspatches nicht installiert haben. Das offenbart ein bedenkliches Maß an fehlendem Sicherheitsbewusstsein

Anfang Juli hatte Malwarebytes vor einer zunehmenden Bedrohung für Apple-Nutzer gewarnt. Seinen Untersuchungen zufolge zielte im letzten Quartal eine schnell wachsende Zahl von Schadprogrammen auf Mac-Anwender. Malwarebytes verzeichnete in diesem Zeitraum so viele Angriffe auf Mac-Rechner wie im gesamten Jahr 2016.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.