Diebstahl sensibler Nutzerdaten

April 7, 2024

Jamf Threat Labs identifiziert zwei Infostealer-Angriffsmethoden, die auf macOS abzielen

Jamf, dem führenden Anbieter für die Verwaltung und den Schutz von Apple-Geräten, hat zwei Angriffsmethoden identifiziert, die speziell auf macOS-Betriebssysteme abzielen. Ihr Ziel: Sensible Daten der Nutzer:innen zu stehlen. Innerhalb des vergangenen Jahres wurden diese sogenannten Infostealer-Angriffe insbesondere bei Nutzer:innen beobachtet, die in der Kryptowährungsbranche tätig waren oder in Kryptowährungen investiert hatten. Die Angreifer versuchten Anmeldeinformationen und Daten aus den Krypto-Wallets der Opfer zu entwenden. 

Jamf Threat Labs hat zwei verschiedene dieser Infostealer-Angriffsmethoden identifiziert und genauer analysiert: 

1.) Atomic Stealer-Angriffe über Werbeanzeigen Bei einer Google-Suche nach dem Arc-Webbrowser konnte das Jamf Threat Labs-Team feststellen, dass die gesponserte Werbeanzeige bei dieser Suche zu einer bösartigen statt der legitimen arc.net-Website führt. Die bösartige Website kann zudem nur über diesen gesponserten Link aufgerufen werden. Über diese Website wurden die macOS-Systeme der Nutzer:innen mit der bereits in der Vergangenheit gut dokumentierten Infostealer-Software Atomic Stealer infiziert. In der tatsächlichen Funktionsweise konnten keine wesentlichen Änderungen im Vergleich zu früheren Versionen von Atomic Stealer festgestellt werden: Die Nutzer:innen werden über eine gefälschte AppleScript-Eingabeaufforderung dazu gebracht, ihr macOS-Passwort einzugeben. Die Angreifer nutzen dieses Passwort dann, um Zugang zu weiteren Passwörtern und Informationen zu erlangen. 

2.) Angriffe über Meethub Das Threat Labs-Team konnte außerdem eine Angriffsmethode identifizieren, bei der die Meeting-Software Meethub genutzt wurde. Meethub ist mit einer soliden Präsenz auf Plattformen wie Telegram und X vertreten (auf letzterer mit mehr als 8.000 Followern, wahrscheinlich eine Mischung aus Bots und realen Nutzer:innen, von denen viele in ihrem Profil ein Interesse an Kryptowährungen angegeben hatten). Opfer dieser Angriffsmethode wurden von den Angreifern per Direktnachricht auf den Plattformen kontaktiert, um beispielsweise ein Angebot für die Aufnahme eines Podcasts zum Thema Kryptowährungen oder ein Jobangebot in der Branche zu besprechen. Für dieses Gespräch wurde von den Angreifern Meethub als Videokonferenzlösung vorgeschlagen. Beim kostenlosen Download der Meethub-Software wurde dann auf den macOS-Systemen der Opfer gleichzeitig eine Infostealer-Software mitinstalliert, die Nutzer:innen per gefälschter AppleScript-Eingabeaufforderung zur Herausgabe ihres macOS-Passwort bewegen sollte. 

Wer ist betroffen? 

Die beiden oben beschriebenen Infostealer-Angriffsmethoden kamen bei Angriffen gegen Nutzer:innen von macOS-Betriebssystemen zum Einsatz. Diese galten lange Zeit als sicherer als Windows-Betriebssysteme, denn der Aufwand für Angreifer, für die im Vergleich relativ geringe Anzahl an Mac-Systemen speziell angepasste Angriffsmethoden zu planen und umzusetzen, war zu hoch. Mit der zunehmenden Verbreitung und Nutzung von Mac-Betriebssystemen und -Endgeräten lohnt sich dieser Aufwand jedoch immer mehr und Mac-Nutzer:innen sollten, genau wie Windows-Nutzer:innen, entsprechend vorsichtig agieren. Außerdem waren primär Nutzer:innen, die in der Kryptowährungsbranche tätig sind, Ziel der beiden oben beschriebenen Angriffe. Die Gründe sind offensichtlich: In dieser Branche können Angreifer oftmals große Geldmengen erbeuten, die zudem üblicherweise relativ geringer regulatorischer Überwachung und Strafverfolgung unterliegen. Damit können die Angreifer ihre Beute einfach „verschwinden lassen“. Nutzer:innen aus der Krypto-Branche sollten deshalb besonders vorsichtig hinsichtlich potenzieller Social-Engineering-Angriffe sein, denn in vielen Fällen lässt sich relativ leicht anhand öffentlich zugänglicher Informationen herausfinden, ob jemand in der Branche tätig ist oder über signifikante Investitionen in Kryptowährungen verfügt. Scamming und Social Engineering gelten nach wie vor als Angriffe, in die Opfer quasi durch Zufall geraten, aber in vielen Fällen recherchieren und kontaktieren die Angreifer ihre Opfer auch bei diesen Ansätzen proaktiv.

Eine ausführliche technische Analyse der neu entdeckten Malware finden Sie auf dem Blog von Jamf: https://www.jamf.com/blog/infostealers-pose-threat-to-macos/

Related Articles

Alte Einteilung des Arbeitsmarktes hinfällig

Unterscheidung zwischen "Arbeitern" und "Angestellten" ist laut Dalhousie University veraltet Die alte Einteilung in Arbeiter ("blue collar") und Angestellte ("white collar") ist auf dem modernen Arbeitsmarkt nicht mehr zeitgemäß. Wirtschaft und Jobs des 21....

Kanada – Obdachlosigkeit: Ältere besonders betroffen

Kanada – Obdachlosigkeit: Ältere besonders betroffen

Risiko eines verfrühten Todes laut kanadischer Studie ab Alter von 50 Jahren um 3,5 Mal höher Obdachlosigkeit wirkt sich immer stärker auf ältere Erwachsene aus, zeigt eine Studie unter der Leitung des St. Michael's Hospital...

Künftige Kontaktlinse kontrolliert Computer

Künftige Kontaktlinse kontrolliert Computer

Auge: Neue Hightech-Kontaktlinse steuert künftig den Computer (Foto: Helmut Strasil, pixabay.com) Smartes Hightech-System der Universität Nanjing erfasst Augenbewegungen in hoher Auflösung Neuartige intelligente Kontaktlinsen eines Teams um Fei Xu vom College of...

Share This