Wenngleich aufgrund seiner Verbreitung vorwiegend Windows ein beliebtes Ziel für die Entwickler von Trojanern und anderer Malware ist, sind in den vergangenen Jahren auch immer wieder Schädlinge aufgetaucht, die sich auf das MacOS-System von Apple spezialisiert haben. Nun kursiert eine neue Bedrohung, die in der Lage ist, den gesamten Internetverkehr von Nutzern auszuspionieren.

Die Forscher des Sicherheitsanbieters Checkpoint Security haben ihm den Namen "Dok" verpasst. Verbreitet wird er, wie so oft, als Mailanhang in Form eines vermeintlichen ZIP-Archivs. Dokumentiert ist beispielsweise eine Nachricht, die sich als Schreiben der schweizerischen Steuerbehörden ausgibt.

Getarnt als ZIP-Archiv

Öffnet man die Datei, so kopiert sich der Schädling auf das System und führt Shell-Kommandos aus, um sich eine Reihe von Rechten zu geben. Dem Nutzer wird über eine gefälschte Fehlermeldung suggeriert, die ZIP-Datei wäre beschädigt und könne nicht geöffnet werden.

Anschließend erzeugt "Dok" ein Fenster, das den Nutzer über ein vermeintliches Sicherheitsproblem informiert und ein OS X-Update zu dessen Behebung anbietet. Dieses Fenster wird je nach Spracheinstellung entweder mit deutschem oder englischen Text versehen und verschwindet nicht, ehe der User den weiteren Vorgang nicht per Passworteingabe bestätigt. Diese "Genehmigung" nutzt die Malware schließlich, um sich noch tiefer einzunisten und Administrator-Rechte zu erlangen. Auch dem aktiven Benutzer räumt Dok diese Rechte ein, um nicht durch unerwartete weitere Passwortabfragen aufzufallen.

Liest komplette Browser-Kommunikation mit

Durch Änderungen an den Netzwerkeinstellungen schleust Dok schließlich den Datenverkehr des Safari-Browsers über einen vom Angreifer kontrollierten Proxy. Als Man-in-the-Middle erhalten die Cyberkriminellen damit Zugriff auf alle Daten, die über Safari geschickt und empfangen werden und können den Datenverkehr auch manipulieren. Auf diese Weise hebelt man auch den Schutz aus, den sonst beispielsweise eine HTTPS-Verschlüsselung einer Webseite bieten würde.

Nach Angaben von Checkpoint haben die Hintermänner von Dok momentan vor allem europäische Nutzer im Visier. Zudem wird die Malware aktuell noch von vielen Virenscannern nicht erkannt. Sie soll alle Versionen von Mac OS X infizieren können. (red, 01.05.2017)