SabPub: Neuer Trojaner gefährdet Mac-Systeme

17. April 2012, 12:26
9 Postings

Nutzt bekannte Java-Lücke in Kombination mit altem Word-Bug aus - Scheint allerdings nur gezielt eingesetzt zu werden

SicherheitsexpertInnen haben schon länger gewarnt, dass Mac OS X in Fragen Computersicherheit längst nicht jene "Insel der Seeligen"  ist, als die sie manche NutzerInnen sehen wollen. Gerade angesichts der steigenden Marktanteile ein schwerwiegender Vorfall also nur eine Frage der Zeit sei. Vor kurzem war es dann tatsächlich so weit: Der Flashback-Trojaner schaffte es unbemerkt mehr als 600.000 Apple-Rechner zu infizieren und zu einem riesigen Botnetz zu versammeln.

Reaktion

Das Einfallstor für "Flashback" ist eine bekannte, schwerwiegende Lücke in Java, die es erlaubt auf die Festplatte zuzugreifen und dort einen Trojaner zu platzieren. Seitdem bekannt wurde, dass Flashback massenhaft kursiert, hat Apple mit einem Update für Java sowie einem eigenen Entfernungstool reagiert.

SabPub

Nun ist aber offenbar der nächste Trojaner im Umlauf, der sich die betreffende Lücke zunutze macht, dies berichtet der Antivirensoftwarehersteller Kaspersky. SabPub nutzt dabei ebenfalls die betreffende Java-Lücke als Einfallstor, verbindet sich anschließend mit einem Webserver und wartet dort auf weitere Anweisungen. So kann er etwa Screenshots von einem  befallenen Rechner aufnehmen und verschicken.

Gezielt

Das Besondere an SabPub ist, dass er die eigenen Spuren äußerst gut zu verschleiern weiß, weswegen er auch erst jetzt entdeckt wurde - offenbar aber bereits rund eineinhalb Monate im Umlauf ist. Zum Teil dürfte dies aber auch daran liegen, dass SabPub augenscheinlich nicht für die breite Masse sondern für sehr gezielte Attacken gegen einzelne Rechnersysteme zum Einsatz gekommen ist. So gibt es eine Variante, die eine - alte - Lücke in Word als Einfallstor nutzt (der Angriff erfolgt dann mittels eines manipulierten Mail-Anhangs), bevor die Java-Lücke zur eigentlichen Installation des Trojaners zum Einsatz kommt.

Updates

Wer seinen Rechner aktuell hält, sollte aktuell also auch bereits vor SabPub geschützt sein. Die erwähnte Word-Lücke wurde zudem bereits 2009 geschlossen, hier haben die AngreiferInnen wohl auf die Verwendung von alten Raubkopien - also ohne aktuelle Updates - gesetzt. (red, derStandard.at, 17.04.12)

  • Von Kaspersky abgefangene Kommunikation des Angreifers mit SabPub, in diesem Fall wurden offenbar manuell Verzeichnisse durchstöbert.
    grafik: kaspersky

    Von Kaspersky abgefangene Kommunikation des Angreifers mit SabPub, in diesem Fall wurden offenbar manuell Verzeichnisse durchstöbert.

Share if you care.