macOS-Malware schaltet GateKeeper-Schutz ab und lädt beliebige Schadsoftware nach

Die nächste Schadsoftware zielt auf den Mac: Sie begnügt sich aber nicht damit, die Browserhistorie zu stehlen, wie das eine kürzlich entdeckte Malware tat, sondern will gleich die gesamten Schilde deaktivieren.

Apples macOS wird aktuell vermehrt von einer Schadsoftware angegriffen, die bereits länger bekannt ist. Nun aber ist Shlayer in einer neuen Variante aufgetaucht, wie Sicherheitsspezialisten entdeckt haben. Diese nutzt eine Schwachstelle in der aktuellen macOS-Version Mojave. Dort erlangt sie maximale Zugriffsrechte durch eine Kombination aus Terminal-Kommandos und der Hoffnung auf hinreichend nachlässige Nutzer, wie der bekannte Sicherheitsforscher Patrick Wardle schon vor Jahren ausgeführt hat. Denn die Software fordert den Nutzer auf, sein Admin-Passwort einzugeben. Viele werden das wohl auch tun, denn es ist ein gängiger Bildschirm, der oft bei der Installation oder dem Update von Apps auftaucht.

GateKeeper wird deaktiviert

Doch gibt der Nutzer hier sein Passwort ein, autorisiert er die Malware damit, GateKeeper abzuschalten, den Malware-Wächter von Apple. Anschließend kann die Software dann beliebige weitere Komponenten aus dem Netz nachladen. Aktuell scheint sich die App nur vergleichsweise harmlose Adware zu ziehen, das kann sich aber jederzeit ändern. Die Anwendung tarnt sich als Flashplayer-Update, sodass viele Nutzer sie bereitwillig ausführen werden. Diesen Angriffsweg hatte bereits zuvor eine andere macOS-Schadsoftware genutzt, wie wir hier berichteten.

Zudem wurde kürzlich eine Sicherheitslücke bekannt, die es erlaubt, auf den Verlauf des Safari-Browsers zuzugreifen und es klafft noch immer eine Lücke in der Schlüsselbundverwaltung von macOS, Apfelpage.de berichtete. Dadurch kommen Angreifer mit physischem Zugang zum Mac an die Passwörter der Nutzer.