Jamf Threat Labs identifiziert zwei Infostealer-Angriffsmethoden, die auf macOS abzielen
Jamf, dem führenden Anbieter für die Verwaltung und den Schutz von Apple-Geräten, hat zwei Angriffsmethoden identifiziert, die speziell auf macOS-Betriebssysteme abzielen. Ihr Ziel: Sensible Daten der Nutzer:innen zu stehlen. Innerhalb des vergangenen Jahres wurden diese sogenannten Infostealer-Angriffe insbesondere bei Nutzer:innen beobachtet, die in der Kryptowährungsbranche tätig waren oder in Kryptowährungen investiert hatten. Die Angreifer versuchten Anmeldeinformationen und Daten aus den Krypto-Wallets der Opfer zu entwenden.
1.) Atomic Stealer-Angriffe über Werbeanzeigen Bei einer Google-Suche nach dem Arc-Webbrowser konnte das Jamf Threat Labs-Team feststellen, dass die gesponserte Werbeanzeige bei dieser Suche zu einer bösartigen statt der legitimen arc.net-Website führt. Die bösartige Website kann zudem nur über diesen gesponserten Link aufgerufen werden. Über diese Website wurden die macOS-Systeme der Nutzer:innen mit der bereits in der Vergangenheit gut dokumentierten Infostealer-Software Atomic Stealer infiziert. In der tatsächlichen Funktionsweise konnten keine wesentlichen Änderungen im Vergleich zu früheren Versionen von Atomic Stealer festgestellt werden: Die Nutzer:innen werden über eine gefälschte AppleScript-Eingabeaufforderung dazu gebracht, ihr macOS-Passwort einzugeben. Die Angreifer nutzen dieses Passwort dann, um Zugang zu weiteren Passwörtern und Informationen zu erlangen.
2.) Angriffe über Meethub Das Threat Labs-Team konnte außerdem eine Angriffsmethode identifizieren, bei der die Meeting-Software Meethub genutzt wurde. Meethub ist mit einer soliden Präsenz auf Plattformen wie Telegram und X vertreten (auf letzterer mit mehr als 8.000 Followern, wahrscheinlich eine Mischung aus Bots und realen Nutzer:innen, von denen viele in ihrem Profil ein Interesse an Kryptowährungen angegeben hatten). Opfer dieser Angriffsmethode wurden von den Angreifern per Direktnachricht auf den Plattformen kontaktiert, um beispielsweise ein Angebot für die Aufnahme eines Podcasts zum Thema Kryptowährungen oder ein Jobangebot in der Branche zu besprechen. Für dieses Gespräch wurde von den Angreifern Meethub als Videokonferenzlösung vorgeschlagen. Beim kostenlosen Download der Meethub-Software wurde dann auf den macOS-Systemen der Opfer gleichzeitig eine Infostealer-Software mitinstalliert, die Nutzer:innen per gefälschter AppleScript-Eingabeaufforderung zur Herausgabe ihres macOS-Passwort bewegen sollte.
Wer ist betroffen?
Die beiden oben beschriebenen Infostealer-Angriffsmethoden kamen bei Angriffen gegen Nutzer:innen von macOS-Betriebssystemen zum Einsatz. Diese galten lange Zeit als sicherer als Windows-Betriebssysteme, denn der Aufwand für Angreifer, für die im Vergleich relativ geringe Anzahl an Mac-Systemen speziell angepasste Angriffsmethoden zu planen und umzusetzen, war zu hoch. Mit der zunehmenden Verbreitung und Nutzung von Mac-Betriebssystemen und -Endgeräten lohnt sich dieser Aufwand jedoch immer mehr und Mac-Nutzer:innen sollten, genau wie Windows-Nutzer:innen, entsprechend vorsichtig agieren. Außerdem waren primär Nutzer:innen, die in der Kryptowährungsbranche tätig sind, Ziel der beiden oben beschriebenen Angriffe. Die Gründe sind offensichtlich: In dieser Branche können Angreifer oftmals große Geldmengen erbeuten, die zudem üblicherweise relativ geringer regulatorischer Überwachung und Strafverfolgung unterliegen. Damit können die Angreifer ihre Beute einfach „verschwinden lassen“. Nutzer:innen aus der Krypto-Branche sollten deshalb besonders vorsichtig hinsichtlich potenzieller Social-Engineering-Angriffe sein, denn in vielen Fällen lässt sich relativ leicht anhand öffentlich zugänglicher Informationen herausfinden, ob jemand in der Branche tätig ist oder über signifikante Investitionen in Kryptowährungen verfügt. Scamming und Social Engineering gelten nach wie vor als Angriffe, in die Opfer quasi durch Zufall geraten, aber in vielen Fällen recherchieren und kontaktieren die Angreifer ihre Opfer auch bei diesen Ansätzen proaktiv.
Eine ausführliche technische Analyse der neu entdeckten Malware finden Sie auf dem Blog von Jamf: https://www.jamf.com/blog/infostealers-pose-threat-to-macos/
