Allgemein

Angreifer attackieren Macs mit Word-Dokumenten

Mac-Nutzer müssen sich auf Angriffe einstellen, die mittels Microsoft Word-Dokumenten ausgeführt werden. Der Sicherheitsforscher Patrick Wardle hat ein entsprechendes Dokument mit der Bezeichnung „U.S. Allies and Rivals Digest Trump’s Victory – Carnegie Endowment for International Peace.docm“ gefunden und analysiert. Die Schadsoftware ist nicht besonders innovativ, weil sie mehrfache Nutzeraktionen verlangt, so der Experte, eine Bedrohung sei sie aber dennoch, weil sie auf das schwächste Glied in der Kette vertraue: den Menschen!

Software soll nachgeladen werden
Die Schadsoftware in dem Word-Dokument, dessen Makro speziell auf MacOS zugeschnitten wurde, prüft, ob das Sicherheitstool Little Snitch arbeitet. Ist dies nicht der Fall, möchte die Schadsoftware Code nachladen – dieser soll eine Hintertür auf dem Mac einrichten. Zum Nachladen dient das quelloffene Python-Tool EmPyre. Durch den Einsatz von jenem umgeht die Schadsoftware die Mac-Sicherheitsvorrichtung „GateKeeper“. Diese blockiert eigentlich die Ausführung von unsigniertem Code.

Aber nicht nur deshalb ist der Einsatz von EmPyre ein großes Problem: Das Tool kann ganz unterschiedliche Komponenten laden. Diese dienen beispielsweise zum Auslesen des Browser-Verlaufs, des Schlüsselbunds, der Tastatureingaben oder können die Webcam aktivieren und eine Aufzeichnung starten. Vereinfacht ausgedrückt: Der Mac und alle Nutzeraktionen werden für die Angreifer komplett transparent. Der Server, den das von Wardle untersuchte Dokument kontaktieren wollte, war nicht mehr aktiv. Der Sicherheitsforscher konnte entsprechend nicht sagen, was genau die Schadsoftware laden wollte.

Eine Schöpfung russischer Krimineller?
Das fragliche Dokument wird laut Wardle von einem Ring russischer Krimineller eingesetzt. Der Sicherheitsforscher befürchtet allerdings, dass sich auch andere Angreifer diese Schwachstelle in MacOS zunutze machen können. Makro-Attacken nehmen im Falle von Windows seit geraumer Zeit stark zu. Ein Beispiel hierfür ist die gefürchtete „Goldeneye Ransomware“. Es erscheint sehr gut möglich, dass es Mac-Usern in Zukunft nicht besser geht.

Post Comment