Neu entdeckte OS X-Malware deutet auf die Rückkehr des Hacking Teams hin

Hacking Team könnte mit der neuen Mac OS X-Malware ein Comeback feiern

Eine kürzlich entdeckte neue OS X-Malwareprobe deutet darauf hin, dass sie vom Hacking Team stammen könnte, dem umstrittenen italienischen Unternehmen, das Überwachungssoftware an Regierungen verkauft. Der Exploit-Verkäufer kehrt nach einem katastrophalen Cyberangriff, bei dem ihre Daten einschließlich des Quellcodes für alle ihre Software in die Öffentlichkeit gelangten, auf den Markt zurück.

Laut den Sicherheitsforschern handelt es sich bei der neu gefundenen OS X-Malware in freier Wildbahn wahrscheinlich um eine neue Version der alten Mac-Malware des Hacking Teams. Die Probe besteht ihrer Meinung nach größtenteils aus demselben Code wie die alte Hacking Team-Malware für Mac OS X, hat jedoch neue Komponenten, die ihr helfen, unentdeckt zu bleiben.

Die Forscher weisen auch darauf hin, dass die Malware eine Kopie der Kompromittierungsplattform Remote Code Systems (RCS) des Softwareunternehmens installiert, was sie zu der Annahme führt, dass das berüchtigte, umstrittene italienische Unternehmen zurück ist.

Die betreffende Malware installiert verschiedene Programme auf einem Computer. Diesmal handelt es sich um einen „Dropper“, der verwendet wird, um andere Software auf einem Computer zu platzieren und anscheinend das RCS des Hacking Teams installiert. „Der Dropper verwendet mehr oder weniger dieselben Techniken wie ältere Hacking Team RCS-Proben, und sein Code ist mehr oder weniger derselbe“, schrieb der Sicherheitsforscher Pedro Vilaca.

Das Hacking Team hatte im letzten Juli einen massiven Datenbruch in seinem Netzwerk erlitten, bei dem fast 400 GB Daten, einschließlich sensibler Informationen wie der Beziehung des Unternehmens zu Regierungen, E-Mails, Quellcode und Exploits, online veröffentlicht wurden. Die Gruppe war seitdem mysteriös still. „Entweder handelt es sich um eine alte Probe oder das Hacking Team verwendet immer noch denselben Code wie vor dem Hack“, schrieb Vilaca. Die Gruppe wurde in der Vergangenheit auch von Datenschutz- und Menschenrechtsgruppen beschuldigt, ihre Software an Regierungen mit schlechten Menschenrechtsbilanz zu verkaufen.

Anfang dieses Monats wurde eine neue OS X-basierte Trojanerprobe mit dem Namen „Morcut“ auf VirusTotal, das Google gehört, hochgeladen, und zu diesem Zeitpunkt konnte kein beliebtes Antivirenprogramm sie erkennen. Bis jetzt konnten 15 Antivirenprogramme, darunter AVG, Eset-Nod 32, F-Secure, BitDefender und TrendMicro, sie erkennen.

Patrick Wardle von der Sicherheitsfirma Synack glaubt, dass der Installer zuletzt im Oktober oder November letzten Jahres aktualisiert wurde. Er fügte hinzu, dass die Malwareprobe größtenteils denselben Code wie die alte Hacking Team-Malware verwendet.

„Ich habe gerade etwas einzigartigen Code in diesem Dropper gefunden. Dieser Code überprüft auf neuere OS X-Versionen und existiert nicht im geleakten Quellcode“, schrieb Vilaca. „Entweder wartet jemand den Hacking Team-Code und aktualisiert ihn (warum zur Hölle sollte jemand das tun!?!?!) oder dies ist tatsächlich eine legitime Probe, die vom Hacking Team selbst kompiliert wurde. Wiederverwendung und Umgestaltung von Malware-Quellcode passiert (zum Beispiel Zeus), aber mein Bauchgefühl und die Indikatoren scheinen nicht in diese Richtung zu deuten.“

Es ist unklar, wie diese Malware auf einem System installiert wird. Wardle hat jedoch einen Weg gefunden, um zu überprüfen, ob Ihr Mac damit infiziert ist.

Hier erfahren Sie, wie Sie überprüfen können, ob Sie betroffen sind:

• Um zu überprüfen, ob Sie infiziert sind, suchen Sie nach Bs-V7qIU.cYL oder _9g4cBUb.psr, die in das Verzeichnis ~/Library/Preferences/8pHbqThW/ abgelegt werden.
• Wenn Sie einen dieser Codes finden, löschen Sie das gesamte Verzeichnis und entfernen Sie die Datei ~/Library/LaunchAgents/com.apple.FinderExtAvt.plist.