"Dumme" MacOS-Schadsoftware attackiert Krypto-Chat-Teilnehmer über Slack und Discord

Sicherheitsforscher haben eine MacOS-Schadsoftware entdeckt, welche Nutzer attackiert, die auf Slack und Discord über Kryptowährungen diskutieren, wie SC Media UK am 2. Juli berichtete.

Remco Verhoef, der Gründer der Netzwerksicherheitsfirma DutchSec machte am 30. Juni mit einem Blog-Beitrag für das Trainingsinstitut für Informationssicherheit und Cybersicherheit Sans Institute auf die Schadsoftware aufmerksam.

Laut Verhoef kopieren die Angreifer die Online-Persönlichkeit der Administratoren oder "Schlüsselfiguren" in Chats mit dem Thema Krypto und teilen "kleine Schnipsel", die heruntergeladen werden und bösartige Binärdateien ausführen. SC Media UK merkt an, dass die Schadsoftware Nutzerpasswörter stehlen kann und diese auf einer lokalen Maschine speichert, den Verhoef als den vermutlich in den Niederlanden stationierten Server des deutschen Providers CorwnClouds identifizierte.

Am 29. Juni schrieb Patrick Wardle von der Firma Digital Security auf der Plattform Objective-See über die Mac-tangierenden Softwareangriffe: "anscheinend fordern die Angreifer die Nutzer auf, sich selbst zu infizieren" - und zwar auf eine "eher massive MachO-Binärdatei".

Wardle schließt seinen Blog-Beitrag damit, dass er eine Reihe von Gründen auflistet, warum er die Schadsoftware "OSX.Dummy" getauft hat:

  • "Die Infektionsmethode ist dumm
  • Die massive Größe der Binärdatei ist dumm
  • Der Persistenzmechanismus ist lahm (und daher auch dumm)
  • Die Fähigkeiten sind eher begrenzt (und daher auch dumm)
  • Sie [die Schadsoftware] ist bei jedem Schritt einfach zu entdecken (was auch dumm ist)
  • ... und außerdem speichert die Schadsoftware Nutzerpasswörter als dumpdummy".

Laut Alex Hinchliffe, einem Analysten für Bedrohungen bei Unit 42 und Palo Alto Networks, ist es wahrscheinlich, dass sich solche Attacken "mit der Zeit verbessern", weswegen Multi-Faktor-Authentifizierungen für den Beitritt zum Chatroom einer Organisation verwendet werden sollten.

Erst heute Morgen wurde ein neuer Angriff auf Bitcoin-(BTC)-Nutzer - mit bisher 2,3 Mio. Opfern - gemeldet, bei denen die Angreifer die Kontrolle über das Windows-Clipboard erlangen, und die BTC-Adressen der Nutzer mit denen der Angreifer austauschen. Letzte Woche hieß es in einem Bericht von McAfee Labs, dass die Kryptojacking-Vorfälle im ersten Quartal 2018 um 629 Prozent zugenommen haben.