Mac Sniffer verfolgt IM Chats und RMTP-Datenpakete

Originalartikel von Carolyn Guevarra (Technical Communications bei Trend Micro)

Die TrendLabs-Forscher Alvin Bacani und Jayson Pryde analysierten kürzlich eine neue Spyware OSX_OPINIONSPY.A, die Intego zufolge zusammen mit Bildschirmschonern für Sites ausgeliefert wird, die kostenlose Anwendungen und Software-Updates wie MacUpdate, Softpedia und VersionTracker hosten.

Die Bildschirmschoner sind zwar nicht bösartig, doch laden sie Spyware herunter, die E-Mail-Adressen, iChat-Nachrichten-Header und URLs stahl sowie weitere persönliche Daten wie Benutzernamen, Kennwörter, Kreditkartennummern und Bookmarks und Histories der Webbrowser.

Sobald die Spyware installiert ist, nimmt sie Verbindung zu einer bestimmten Site auf und sendet die Daten (bspw. Kampagnen-ID, Betriebssystemversion und Typus), die sie von den betroffenen Systemen eingesammelt hat.

Interessanter noch ist die Monitoring-Routine von OSX_OPINIONSPY.A. Sie verbindet sich mit einer URL, um eine upgegradete Kopie ihrer selbst herunterzuladen – eine weitere Spyware, die Instant-Messaging-Anwendungen ausschnüffelt, etwa AIM, GoogleTalk, MSN Messenger und Yahoo! Messenger sowie Real-Time-Messaging-Protocol (RMTP)-Datenpakete. Somit können die Cyberkriminellen Benutzernamen und Kennwörter sowohl von IM- als auch von RTMP-Streams abgreifen. Diese gestohlenen Pakete können auch Informationen umfassen, die während Konversationen verschickt wurden.

Die Analyse ergab, dass die Spyware nicht nur Macs im Visier hat, sondern auch Windows-Systeme (diese Version ist als SPYW_RELEKNOW identifiziert worden). Die Gefahr könnte auch in Form einer weiteren Anwendung kommen und nicht nur als Bildschirmschoner. Der Senior Advanced Threats Researcher Ivan Macalintal beschreibt den bei diesem Angriff verwendeten Code als „sehr persistent und heimtückisch“, denn eine Infektion durch die Spyware kann unbemerkt bleiben.

TrendLabs hat wiederholt darüber berichtet, wenn Mac-Malware in derselben Art verbreitet wurde: So etwa über Mac-Malware tarnt sich als iPhoto Installer oder DNS-abändernder Mac-OS-X-Trojaner “in-the-wild”.

Unabhängig vom Betriebssystem sind Anwender von Trend Micro-Produkten über das Smart Protection Network vor diesen Gefahren geschützt, denn der Web Reputation Service verhindert den Zugriff auf Sites, die bösartige Dateien hosten. Auch erkennt der File Reputation Service die bösartigen Dateien als Schädlinge.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*