Alter Mac-Trojaner entdeckt: Keine akute Gefahr ABER …
Auf Googles Schadcode-Analyse Plattform „VirusTotal“ ist ein Trojaner für OS X aufgetaucht. Der Bösewicht wurde auf den Namen „Morcut“ getauft und stammt vermutlich aus der Firma „Hacking Team“. Laut dem Sicherheitsforscher Pedro Vilaça besteht daran zumindest kein Zweifel. Die Firma wurde bekannt, als sie im Sommer 2015 selbst gehackt wurde. Dabei wurden Informationen veröffentlicht, die die Zusammenarbeit mit Regierungen bestätigen (Hallo Bundestrojaner!).
Mittlerweile wird Morcut von einigen Antiviren Programmen erkannt. Eine Analyse ergab, dass ähnlicher Schadcode bereits seit 2012 existiert. Morcut erstellt eine Hintertüre auf eurem System und treibt bereits seit Oktober 2015 sein Unwesen. Scheinbar wird die Hintertüre noch nicht genutzt. Trotzdem ist die Tatsache, dass sich dieser Trojaner auf noch unbekannten Weg auf Systeme schleust, beunruhigend.
Erkennen kann man einen befallenen Mac sehr einfach, und zwar an der Datei _9g4cBUb.psr im Verzeichnis ~/Library/Preferences/8pHbqThW/ (und an einem zugehörigen Prozess ~/Library/LaunchAgents/com.apple.FinderExtAvt.plist der sich selbst startet). Die Wahrscheinlichkeit, dass ihr betroffen seid, ist sehr gering. Ein einfaches löschen der Datei würde wohl kaum reichen, um einer professionellen Spionagesoftware das Wasser zu reichen. Eine komplette Neuinstallation wäre das mindeste was ihr tun solltet.
Wird es Windows-Viren wie Locky bald auch auf dem Mac gelingen massenhaft für Infizierungen zu sorgen? Ich denke: Nein. Auch wenn OS X durch steigende Nutzerzahlen immer attraktiver für Bösewichte wird.
Aber was kann man tun, um weiterhin einen sauberen Mac zu haben ohne dass ein ständig im Hintergrund laufender Virenscanner mein System lahmt?
Hier ein paar persönliche Tipps:
– Haltet euer System aktuell und installiert Updates
– Aktiviert Apples „Gatekeeper“ (umso höhere Sicherheitsstufe umso besser)
– Verzichtet möglichst auf Erweiterungen die für Sicherheitslücken bekannt sind (Flash, Java, …)
– Falls ihr „unsichere“ Browser-Plugins benötigt, aktiviert diese nur temporär (ClickToPlugin ist hierfür eine praktische Safari-Erweiterung)
– Prüft euer System mit „KnockKnock (UI)“ (das kostenlose Tool listet installierte Prozesse, Erweiterungen usw. und prüft sie gleich auf VirusTotal)
Screenshot „KnockKnock (UI)“