Diebstahl sensibler Nutzerdaten

April 7, 2024

Jamf Threat Labs identifiziert zwei Infostealer-Angriffsmethoden, die auf macOS abzielen

Jamf, dem führenden Anbieter für die Verwaltung und den Schutz von Apple-Geräten, hat zwei Angriffsmethoden identifiziert, die speziell auf macOS-Betriebssysteme abzielen. Ihr Ziel: Sensible Daten der Nutzer:innen zu stehlen. Innerhalb des vergangenen Jahres wurden diese sogenannten Infostealer-Angriffe insbesondere bei Nutzer:innen beobachtet, die in der Kryptowährungsbranche tätig waren oder in Kryptowährungen investiert hatten. Die Angreifer versuchten Anmeldeinformationen und Daten aus den Krypto-Wallets der Opfer zu entwenden. 

Jamf Threat Labs hat zwei verschiedene dieser Infostealer-Angriffsmethoden identifiziert und genauer analysiert: 

1.) Atomic Stealer-Angriffe über Werbeanzeigen Bei einer Google-Suche nach dem Arc-Webbrowser konnte das Jamf Threat Labs-Team feststellen, dass die gesponserte Werbeanzeige bei dieser Suche zu einer bösartigen statt der legitimen arc.net-Website führt. Die bösartige Website kann zudem nur über diesen gesponserten Link aufgerufen werden. Über diese Website wurden die macOS-Systeme der Nutzer:innen mit der bereits in der Vergangenheit gut dokumentierten Infostealer-Software Atomic Stealer infiziert. In der tatsächlichen Funktionsweise konnten keine wesentlichen Änderungen im Vergleich zu früheren Versionen von Atomic Stealer festgestellt werden: Die Nutzer:innen werden über eine gefälschte AppleScript-Eingabeaufforderung dazu gebracht, ihr macOS-Passwort einzugeben. Die Angreifer nutzen dieses Passwort dann, um Zugang zu weiteren Passwörtern und Informationen zu erlangen. 

2.) Angriffe über Meethub Das Threat Labs-Team konnte außerdem eine Angriffsmethode identifizieren, bei der die Meeting-Software Meethub genutzt wurde. Meethub ist mit einer soliden Präsenz auf Plattformen wie Telegram und X vertreten (auf letzterer mit mehr als 8.000 Followern, wahrscheinlich eine Mischung aus Bots und realen Nutzer:innen, von denen viele in ihrem Profil ein Interesse an Kryptowährungen angegeben hatten). Opfer dieser Angriffsmethode wurden von den Angreifern per Direktnachricht auf den Plattformen kontaktiert, um beispielsweise ein Angebot für die Aufnahme eines Podcasts zum Thema Kryptowährungen oder ein Jobangebot in der Branche zu besprechen. Für dieses Gespräch wurde von den Angreifern Meethub als Videokonferenzlösung vorgeschlagen. Beim kostenlosen Download der Meethub-Software wurde dann auf den macOS-Systemen der Opfer gleichzeitig eine Infostealer-Software mitinstalliert, die Nutzer:innen per gefälschter AppleScript-Eingabeaufforderung zur Herausgabe ihres macOS-Passwort bewegen sollte. 

Wer ist betroffen? 

Die beiden oben beschriebenen Infostealer-Angriffsmethoden kamen bei Angriffen gegen Nutzer:innen von macOS-Betriebssystemen zum Einsatz. Diese galten lange Zeit als sicherer als Windows-Betriebssysteme, denn der Aufwand für Angreifer, für die im Vergleich relativ geringe Anzahl an Mac-Systemen speziell angepasste Angriffsmethoden zu planen und umzusetzen, war zu hoch. Mit der zunehmenden Verbreitung und Nutzung von Mac-Betriebssystemen und -Endgeräten lohnt sich dieser Aufwand jedoch immer mehr und Mac-Nutzer:innen sollten, genau wie Windows-Nutzer:innen, entsprechend vorsichtig agieren. Außerdem waren primär Nutzer:innen, die in der Kryptowährungsbranche tätig sind, Ziel der beiden oben beschriebenen Angriffe. Die Gründe sind offensichtlich: In dieser Branche können Angreifer oftmals große Geldmengen erbeuten, die zudem üblicherweise relativ geringer regulatorischer Überwachung und Strafverfolgung unterliegen. Damit können die Angreifer ihre Beute einfach „verschwinden lassen“. Nutzer:innen aus der Krypto-Branche sollten deshalb besonders vorsichtig hinsichtlich potenzieller Social-Engineering-Angriffe sein, denn in vielen Fällen lässt sich relativ leicht anhand öffentlich zugänglicher Informationen herausfinden, ob jemand in der Branche tätig ist oder über signifikante Investitionen in Kryptowährungen verfügt. Scamming und Social Engineering gelten nach wie vor als Angriffe, in die Opfer quasi durch Zufall geraten, aber in vielen Fällen recherchieren und kontaktieren die Angreifer ihre Opfer auch bei diesen Ansätzen proaktiv.

Eine ausführliche technische Analyse der neu entdeckten Malware finden Sie auf dem Blog von Jamf: https://www.jamf.com/blog/infostealers-pose-threat-to-macos/

Related Articles

ZeDIS: einheitliches Grundschutz-Tool für die Bundesverwaltung

ZeDIS: einheitliches Grundschutz-Tool für die Bundesverwaltung

Zentraler Dienst für Informationssicherheit standardisiert und optimiert IT-Grundschutz für Bundesbehörden Die Bundesverwaltung setzt für einen optimierten IT-Grundschutz auf eine zentrale Software. Diese basiert auf den markterprobten GRC-Lösungen des deutschen...

CES 2025 zeigt Alles digital

CES 2025 zeigt Alles digital

Marktplatz für Innovationen mit Bedeutung auch für Europa und die IT-Sicherheitsbranche Ein globales Schaufenster der Innovationen Mit über 170.000 Teilnehmern aus mehr als 150 Ländern und einer Ausstellungsfläche, die weit über die Größe mehrerer Fußballfelder...

Söder und Herrmann: Bayerns Bahnhöfe sollen noch sicherer werden

Söder und Herrmann: Bayerns Bahnhöfe sollen noch sicherer werden

Ministerpräsident Dr. Markus Söder und Bayerns Innenminister Joachim Herrmann besuchen Nürnberger Hauptbahnhof: Bayerns Bahnhöfe sollen noch sicherer werden - Verstärkte Fußstreifen, Drogenspürhunde und Videoüberwachung +++ Mit verstärkten Fußstreifen, mit...

Share This