DNS-abändernder Mac-OS-X-Trojaner „in-the-wild“

Original Artikel von Det Caraig (Technical Communications, Trend Micro)

Zurzeit treibt ein Trojaner, der das Domain Naming System (DNS) von Mac-Computern abändert und sich
als MacCinema Installer (von Trend Micro als OSX_JAHLAV.D
entdeckt) tarnt, sein Unwesen. Dabei handelt es sich um die neueste Variante von OSX_JAHLAV.C, der
im Juni identifiziert wurde.

Hier klicken

Angeblich handelt es sich bei dem Trojaner um ein Update des QuickTime Players mit dem Dateinamen QuickTimeUpdate.dmg. Wie auch bei früheren Varianten werden Benutzer aufgefordert, die Malware herunterzuladen, während sie versuchen, bestimmte Online-Videos von .com-Domains mit der IP-Adresse 91.214.45.73 anzuzeigen, wie z. B.:

  • allincorx
  • bigdron
  • cikaredo
  • civilizxx
  • comeandtryx
  • deribrowns
  • draxxtermania
  • givendream
  • hitrowzone
  • jumborad
  • ltdkeeper
  • operationelx
  • oxxadox
  • paxxtiger
  • rednetx
  • rstdeals
  • simplexdoom
  • sinisteer
  • tdenuwas
  • tniredrum
  • ufapeace

Bei einer Infektion kann der Webverkehr des Opfers auf eine vom Angreifer gewählte Website umgeleitet werden.

Der Trojaner enthält Komponentendateien (entdeckt als UNIX_JAHLAV.D) und verschleierte Skripts (entdeckt als PERL_JAHLAV.F). Das Perl-Skript lädt dann eine Datei von einer bösartigen Website herunter und speichert sie als /tmp/{3 beliebige Zahlen}, die als UNIX_DNSCHAN.AA entdeckt wird. Dadurch kann ein bösartiger Benutzer die Aktivitäten des betroffenen Benutzers überwachen. Es kann aber auch passieren, dass der Benutzer auf Phishing-Websites oder Websites umgeleitet wird, von denen andere Malware heruntergeladen werden kann.

Laut Feike Hacquebord , Advanced Threats Researcher bei Trend Micro, sind die Domain-Namen so gewählt, dass Cyber-Kriminelle auch bei Weg- oder Ausfall der Haupt-IP das Backend einfach auf eine andere IP-Adresse verschieben können, ohne dabei Code oder Skripts ändern zu müssen

Mac-Nutzer täten gut daran, sich von den oben genannten Domains und IP-Adressen fernzuhalten, oder nur Software-Updates herunterzuladen, die von der rechtmäßigen Apple-Website stammen.

Mac-Nutzer sind durch das Smart Protection Network mit Trend Micro Security for Mac und Smart Surfing for Mac geschützt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*