Windows-Malware für Max OS X-Systeme in freier Wildbahn entdeckt

Forscher analysieren einen neuen Code aus einem fünf Jahre alten Hintertürprogramm, das auf Windows verwendet wurde und das sie in ein Spyware-Programm integriert gefunden haben, das darauf abzielt, Mac OS X-Systeme zu kompromittieren. Als XSLCmd von den Forschern bezeichnet, wurde diese OS X-Malware am 10. August von VirusTotal verifiziert. Andere Antivirenprogramme waren bisher nicht erfolgreich bei der Erkennung, was bestätigt, dass die Autoren eine viel komplexere Codierung dafür verwenden.

Das führende Sicherheitsforschungsunternehmen FireEye sagte in seinem Blogbeitrag zu dieser Malware, dass der Malware-Code mit PowerPC- und 64/86-Bit-CPU-Architekturen kompatibel ist; neben der Installationsroutine ist auch eine Hintertür vorhanden, die ausgeführt wird, sobald der übergeordnete Prozess läuft.

„Der Hintertür-Code wurde von einer Windows-Hintertür auf OS X portiert, die in den letzten Jahren umfassend in gezielten Angriffen verwendet wurde und in diesem Prozess viele Male aktualisiert wurde.“

Die im Hintertür vorhandenen Funktionen umfassen das Öffnen einer umgekehrten Shell sowie Aktionen zum Anzeigen von Dateien und deren Übertragung an einen entfernten Ort oder das Ausführen von Selbstaktualisierungsroutinen und das Installieren anderer ausführbarer Dateien. FireEye sagt, dass die OS X-Version im Vergleich zur Windows-Version über erweiterte Funktionen verfügt, die es ermöglichen, das Opfer durch das Protokollieren von Tasteneingaben und des Computerbildschirms zu überwachen. Dies, zusammen mit der Tatsache, dass es bisher unentdeckt geblieben ist, deutet auf einen sehr erfahrenen Malware-Autor hin.

Die Forscher glauben, dass die XSLCmd-Hintertür in Cyber-Überwachungsaktivitäten eingesetzt wird. Die Forscher haben die Cyberkriminellen als GREF identifiziert. Dieses Team spezialisiert sich auf Cyber-Überwachung und ist seit 2009 aktiv. Es war eine der Gruppen, die die US-Verteidigungsindustrie sowie Elektronik- und Ingenieurbüros weltweit zwischen 2011 und heute gehackt hat. Es ist jedoch nicht bekannt, ob diese Gruppe aus staatlichen Akteuren eines Landes besteht.

Mit der steigenden Beliebtheit von Apple-Computern und Laptops wird dies zu einem neuen Kopfschmerz für das Mutterunternehmen. Bisher waren Malware für Mac-Maschinen selten und weit verbreitet. Das Portieren von Windows-Malware auf andere Betriebssysteme ist weder eine komplexe noch eine neue Praxis. In Form einer Mach-O-executablen Datei kopiert die Hintertür nach „$HOME/Library/LaunchAgents/clipboardd“ und erstellt eine Datei im Ordner, die sicherstellt, dass die Bedrohung beim Neustart des Computers gestartet wird, sobald das Opfer sich anmeldet.

Während des Installationsprozesses überprüft die Malware die Version des Betriebssystems, und es scheint, dass Versionen über 10.8 (Mountain Lion) nicht berücksichtigt werden. Dies könnte darauf hindeuten, dass die Autoren entweder Opfer anvisiert haben, die diese Edition von OS X verwenden, oder dass das Stück speziell für Mountain Lion erstellt wurde.

FireEye glaubt, dass die Cyberkriminellen / Cyberbande, die hinter dieser Bedrohung stehen, nicht nur „fortgeschritten“, sondern auch „anpassungsfähig“ sind, wenn man bedenkt, dass sie es geschafft haben, die Kompatibilität ihres Werkzeugs mit den neuen Betriebssystemen, die von ihren Opfern übernommen wurden, zu erreichen und eine Persistenz auf den infizierten Maschinen zu erlangen.

Sie können den vollständigen Artikel über XSLCMD hier lesen.