Word-Dateien mit Backdoor-Malware bedrohen Mac-Rechner

Cloud

Der Schadcode gelangt über ein zu aktivierendes Macro auf ein System. Betroffen sind allerdings nur Macs, auf denen die Programmiersprache Perl installiert ist. Die Backdoor richtet sich dauerhaft auch ohne Root-Rechte auf einem Mac ein und stiehlt vertrauliche Daten.

Trend Micro weist auf eine neue Schadsoftware für Apples macOS hin, die sich derzeit über speziell gestaltete Word-Dokumente verbreitet. Sie richtet sich speziell gegen Macs, auf denen die Programmiersprache Perl installiert ist. Ihre Aufgabe ist es, Macs dauerhaft zu kompromittieren, zu überwachen und Daten zu sammeln.

Malware (Bild: Maksim Kabakou/Shutterstock)Der als OSX_OCEANLOTUS.D bezeichnete Schädling wird den Forschern zufolge wahrscheinlich per E-Mail verbreitet – bisher offenbar nur im Rahmen einer Spear-Phishing-Kampagne. Das infizierte Word-Dokument gibt vor, von einer vietnamesischen Organisation namens HDMC zu stammen, die sich für Demokratie und nationale Unabhängigkeit einsetzt.

Öffnet ein Opfer die Word-Datei, wird er aufgefordert, die Ausführung von Makros zu aktivieren, was die Hintertür ausführt und einen Dropper sowie eine schädliche XML-Datei in Systemordner einschleust. Der Dropper wiederum führt seine Aufgaben auch dann aus, wenn der aktive Nutzer nicht als Root angemeldet ist. In dem Fall passt er den Download-Ordner an.

Ausgewähltes Whitepaper

Die drei wichtigsten Faktoren bei der Modernisierung von SAN

In diesem E-Book erläutert NetApp die drei wichtigsten Faktoren bei der Modernisierung von SAN: Performance, vereinfachte Prozesse und eine zukunftssichere Architektur, die erweitert werden und dadurch auch künftige Anforderungen erfüllen kann. Jetzt herunterladen!

Schließlich richtet die Backdoor einen Autostarteintrag ein, um sicherzustellen, dass sie bei jedem Systemstart ausgeführt wird. Ihre Dateiattribute setzt die Backdoor auf “versteckt”. Zudem soll ein zufälliges Dateidatum eine Erkennung erschweren. Nach Abschluss der Installation löscht sich der Dropper, um keinen Verdacht zu erwecken.

Die Backdoor selbst verfügt über zwei Komponenten. Während ein Prozess Daten über das System sammelt, verschlüsselt an einen Befehlsserver überträgt und dessen Anweisungen ausführt, hält ein weiterer Prozess die eigentliche Hintertür offen.

Trend Micro ordnet die Backdoor einer OceanLotus genannten Hackergruppe zu, die auch als SeaLotus oder Cobalt Kitty bezeichnet wird. Sie wird mit Angriffen auf Menschenrechtsorganisationen, Medienunternehmen, Forschungseinrichtungen und Unternehmen in Verbindung gebracht.

Eset geht davon aus, dass OceanLotus von Asien aus agiert und Ziele in Vietnam, Laos, Kambodscha und auf den Philippinen ins Visier nimmt. Der Sicherheitsanbieter Volexity untersucht die Aktivitäten von OceanLotus sogar bereits seit 2015.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Lesen Sie auch :