Neuer DNSChange-Trojaner zielt explizit auf Apples macOS
Apples macOS ist offenbar aktuell das Ziel eines neuen Hacker-Angriffs, der auf dem DNSChange-Trojaner basiert, der bereits im Jahr 2011 über vier Millionen Computer infizierte. Dies berichtet aktuell The Hacker News. Die Malware verändert die DNS-Serveradressen auf den befallenen Computern und leitet hierdurch den Webverkehr über die Server der Hacker, wobei verschiedene sensible Daten abgefangen werden können. Dies wird klassischerweise als "Man in the Middle Attacke" bezeichnet. Die nun gesichtete Variante dieses Trojaners fört auf den Namen OSX/MaMi. Der Ex-NSA Hacker Patrick Wardle hat sich die Arbeitsweise des Trojaners einmal genauer angesehen und herausgefunden, dass die Malware zusätzlich auch noch ein neues Root-Zertifikat installiert, um hierüber auch auf verschlüsselte Verbindungen zugreifen zu können.
Darüber hinaus kann der OSX/MaMi-Trojaner auf einem infizierten Rechner auch die folgenden Aktionen ausführen:
- Screenshots aufnehmen
- Mausaktionen simulieren
- Sich als Startobjekt positionieren
- Dateien hoch- und runterladen
- Bestimmte Befehle ausführen
Darüber hinaus sind noch einige Details zu dem neuen Angriffsszenario unbekannt. Wardle geht jedoch davon aus, dass die Hacker sich auf Standardmethoden zum Verteilen des Trojaners verlassen, also beispielsweise infizierte E-Mails und gefälschte Sicherheitswarnungen versenden. Während Apple und die gängigen Antiviren-Anbieter sicherlich schnell auf die Bedrohung reagieren werden, sollte man selbst in den Netzwerkeinstellungen auf die IP-Adressen 82.163.143.135 und 82.163.142.137 bei den DNS-Einstellungen achten. Hierbei handelt es sich um die Hacker-Server.
Darüber hinaus hat Patrick Wardle angekündigt, eine kostenlose Firewall namens Lulu bereitzustellen, die OSX/MaMi aushebelt. Weitere Informationen können auf seiner Webseite eingesehen werden.Trackbacks
Keine Trackbacks
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Dhallalala am :
waal am :
Rolf am :
GREYAchilles am :
XT2- KF am :
Grusim am :
waal am :
itsme am :
Besser aber ist der Einsatz von pf, der Quasi-Nachfolger des iptables Paketfilters.
itsme am :
Jeder Sch\344dling hat nur soviel Rechte wie der Account, der ihn ausf\374hrt.
Das ist einer der h\344ufigsten Gr\374nde f\374r Viren-/Trojaner-/sonstigen Befall, gerade auch bei Windows-Maschinen, zumindest die Workstation-Varianten.
Andr\351 am :
Muss man aber sudo Rechte haben
Prinzipiell sollte man daher (gilt f\374r alle Betriebssysteme) nicht einen Account mit Admin rechten nutzen
Das ist \374brigens ein ganz altes Szenario , gerne auch benutzt, um erst einmal die DNS Eintr\344ge f\374r die bekannten Update Server der verschiedenen Antivirus-Anbieter mit entweder eigenen oder nicht existenten (oder einfach localhost) Adressen zu versehen
Und dann kommt Tage sp\344ter der eigentliche Virus , mit neuer Signatur
Viele Antivirusprogramme fummeln deshalb auch gerne in /Windows/system32/drivers/etc/hosts Datei herum, was auch wieder nervig ist