Gatekeeper ausgetrickst
Getarnt als .exe: Mac-Schadsoftware hebelt Systemschutz aus
Das Sicherheits-Team von Trend Micro, Anbieter der Security-Applikation „Antivirus for Mac„, berichtet in seinem Hausblog über einen neuen Typ von Schadsoftware, der auf dem Mac als Windows-Anwendung auftritt und so in der Lage zu sein scheint, sich an Apples Systemschutz „Gatekeeper“ vorbeizuschleichen.
Die fragliche App, die über Tauschbörsen und Piracy-Foren verteilt wird, setzt auf das Mono-Framework, das unter macOS üblicherweise dafür genutzt wird .NET-Windows-Programme zu starten. Entsprechend tritt die Schadsoftware nicht mit dem Kürzel .app, sondern als .exe-Datei auf.
Der Nebeneffekt: Apples Gatekeeper-Sicherheitsmaßnahmen greifen nicht, die Systemroutine ausschließlich Mac-Applikationen und keine Windows-Programm prüft.
Die Schadsoftware, die sich als Raubkopie bekannter Mac-Anwendungen wie „Little Snitch“ oder „Paragon NTFS“ tarnt, überträgt nach der Installation zahlreiche Kenndaten (wie Seriennummer, Verzeichnis-Struktur, UUID etc.) des infizierten Macs nach Hause und wartet weitere Befehle der Kommando-Server ab.
Currently, running EXE on other platforms may have a bigger impact on non-Windows systems such as MacOS. Normally, a mono framework installed in the system is required to compile or load executables and libraries. In this case, however, the bundling of the files with the said framework becomes a workaround to bypass the systems given EXE is not a recognized binary executable by MacOS’ security features. As for the native library differences between Windows and MacOS, mono framework supports DLL mapping to support Windows-only dependencies to their MacOS counterparts.
Mal nebenbei, wie kann ich im Mac Sperrbildschirm Widget hinzufügen, so wie es oben auf dem Bild ist?
Danke
Wenn Du Windows 10 benutzt …
:D +1
Windows 10 in einer VM als Vollbild als Bildschirmschoner einstellen :D
Verstehe ich insofern nicht ganz, weil m.E. doch die Installation von mono erforderlich ist. Das ist doch aber kein default-Bestandteil von macOS – so weit ich weiß
ach jetzt sehe ich – Teil des Installers … na ja wer crack und warez runterlädt und dann installer startet sollte später nicht heulen …
Richtig. Nach wie vor muss du den Virus installieren.
Daher auch die Info das sie sich als installer für verschiedene Programme tarnen.
Trotzdem wird ein DAU vermutlich drauf rein fallen können
Habe mir auch was eingefangen , am laufenden Band kommt ein Fenster , wo ich das Passwort eingeben soll ( was ich natürlich nicht mache )
Sämtliche versuche es zu bereinigen sind fehlgeschlagen …..
Runtergelaufen hatte ich ein Entpackungstool , wo sich dieses unsägliche Programm Mac Keeper drin befanden hat .
Wenn jemand eine Lösung hat , wäre ich dankbar ;) YouTube Anleitung , Apfeltalk usw , da steht zwar einiges zu dieser Problematik , jedoch bringt es bei mir nichts .
Runter geladen …. nicht gelaufen ;)
Du hast doch hoffentlich Backups gemacht, oder? Ansonsten einmal clean install.
Ja , alles auf Time Capsule gesichert ….
Ha ha ja Komplett-Backup auf TM inkl aller „Einstellungen“ von MacKeeper ;) top
Nein! Ich mache nur manuelle Backup’s . Dies mach ich bevor ich ein Programm brauche , welches es nicht im AppStore gibt immer .
Naja dann sollte es doch einfach sein,
vom Backup den Rechner zu einem gewählten Zeitpunkt wiederherstellen.
Dazu gibt es sicherlich viele Anleitungen im Netz und im Zweifelsfall einfach MacHD also die ganze Festplatte “wiederherstellen”.
wer schon eine .exe Datei auf seinem Mac findet, müssten bei dem die Alarmglocken klingeln.
So so … du guckst also in jedes Installer-Packet …
@noyoulikeme:
@noyoulikeme: Sollte meinen, „daumenhoch“ … Emoji gehen hier aber nicht.
„Die Schadsoftware, die sich als Raubkopie bekannter Mac-Anwendungen (…) tarnt, überträgt nach der Installation zahlreiche Kenndaten (…).“
Ehrlich gesagt: da trifft es die richtigen, Stichwort Raubkopie. Man erntet was man sät – früher oder später.
das heisst also: besser mono deinstallieren?
Das heißt keine Raubkopien runterladen.
Genial einfach und klar verständliche Antwort :-)
Macht aber so nicht ganz Sinn, die .exe wird zwar vom GateKeeper nicht blockiert, die .app welche die .exe beinhaltet jedoch schon.
Selbst wenn, erstens keine Root Rechte, zudem braucht es bei systemübergreifenden Aktionen trotzdem wieder das Benutzerpasswort.
Wozu „systemübergreifende“ Aktionen wenn alle Daten zum Abgriff im User-kontext vorliegen … ?
Dann trifft es ja die richtigen
Es wird auf jeden Fall die Masse treffen. Das ist nur die Spitze des Eisbergs.