Achtung, Malware: Apple-Geräte im Visier eines gefälschten macOS PDF-Viewers

Lupe, die das Wort "Malware" im Computer-Maschinencode vergrößert
(Bildnachweis: Shutterstock)

Sicherheitsexperten haben davor gewarnt, dass Apple-Geräte mit einer neuen Malware-Variante angegriffen werden, die sich als gefälschter macOS-PDF-Viewer ausgibt.

Cybersecurity-Forscher von Jamf Threat Labs haben einen Bericht veröffentlicht, in dem sie eine neue Apple macOS-Malware mit dem Namen RustBucket beschreiben. 

Bei RustBucket handelt es sich im Wesentlichen um einen Loader, der dazu dient, Malware der zweiten Stufe auf die Zielgeräte zu bringen. Sie wird unter dem Dateinamen "Internal PDF Viewer" in Umlauf gebracht. Die Forscher gehen zwar nicht auf die Verbreitungskanäle ein, aber es ist anzunehmen, dass sie über Phishing-E-Mails und bösartige Websites weitergegeben wird.

Angriff in drei Phasen

Der Haken an RustBucket ist, dass das Opfer die Gatekeeper-Schutzmaßnahmen manuell außer Kraft setzen muss, um zu funktionieren. Wenn sie das tun, riskieren sie, eine zweite Ladung zu erhalten, die in Objective-C geschrieben ist und die wiederum die endgültige Schaddatei liefert - eine ausführbare Mach-O-Datei, die in Rust geschrieben ist. Diese Malware, so die Forscher, kann Systemaufklärungsbefehle ausführen.

"Die vom Angreifer verwendete PDF-Viewer-Technik ist sehr clever", so die Forscher. "Um eine Analyse durchführen zu können, benötigen wir nicht nur die Malware der zweiten Stufe, sondern auch die richtige PDF-Datei, die als Schlüssel dient, um den bösartigen Code innerhalb der Anwendung auszuführen."

Vorsicht auch bei Facebook

Der Bedrohungsakteur hinter dieser Kampagne heißt BlueNoroff - manchmal auch APT28, Nickel Gladstone, Sapphire Sleet, Stardust Chollima oder TA444 genannt. 

In Wirklichkeit gehört die Gruppe zur Lazarus Group, einem berüchtigten staatlich gesponserten Bedrohungsakteur aus Nordkorea. Lazarus ist einer der bekanntesten Bedrohungsakteure der Welt, der unter anderem für den Angriff auf die Harmony-Brücke im Juni 2022 verantwortlich ist. Dieser Angriff auf das beliebte Kryptogeschäft führte zum Diebstahl von rund 100 Millionen Dollar in verschiedenen Kryptowährungen.

Lazarus steckte auch hinter einem Angriff auf die Ronin-Brücke, der Anfang 2022 stattfand und bei dem die Gruppe 625 Millionen Dollar in verschiedenen Kryptowährungen stahl.

Via: The Hacker News

Franziska Schaub
Chefredakteurin

Hallöchen, ich bin Franzi.

Als Chefredakteurin bei TechRadar Deutschland bin ich unter anderem verantwortlich für die Bereiche Smartphones, Tablets und Fitness.

Wenn ich nicht gerade nach neuesten News für euch das Internet durchforste oder frisch gelaunchte Geräte teste, backe ich, tauche ein in die Welt von Azeroth, schmökere in Romanen auf meinem Kindle Paperwhite oder sitze mit einer Tasse Tee gemütlich auf dem Sofa, ganz im Sinne von Netflix & Chill. Dazu eine schlafende Katze auf dem Schoß und ich bin glücklich.

Du möchtest, dass dein Produkt bei uns vorgestellt wird oder hast Neuigkeiten, die wir unbedingt in die Welt hinausstreuen sollen? Dann melde dich am besten unter fschaub[at]purpleclouds.de.

Ich freue mich auf deine Nachricht!

Mit Unterstützung von