Die Malware gelangte als unaufälliges Alexa Skill auf den Mac

Es gehört zu den häufigsten Mahnungen, man sollte immer ein aktuelles System benutzen. Durch Updates werden bekannte Sicherheitslücken geschlossen, die Hacker für Malware-Angriffen nutzen. Wie jetzt bekannt wurde, schließt macOS 11.3 eine besonders schwerwiegende Schwachstelle. Wie das Magazin "Motherboard" berichtet , handelte es sich bei der Sicherheitslücke CVE-2021-30657 um einen Fehler in Gatekeeper, der Malware-Autoren die simple Installation von Schadsoftware ermöglichte. Nutzer konnten heruntergeladene Malware ohne Warnungen des Sicherheitssystems Gatekeeper installieren.

Eine Gruppe an Hackern hat diese Sicherheitslücke laut der Sicherheitsfirma Jamf Protect bereits für ihre Malware ausgenutzt, eine Schadsoftware des Typs Shlayer wurde im Januar 2021 bei einem Kunden der Firma entdeckt. Shlayer ist eine Adware, die gezielt Werbung auf dem befallenen Rechner anzeigt und auch auf Apple-Rechner recht verbreitet ist. Auf Macs gelangt sie vor allem durch Suchmaschinen. In dem genannten Fall suchte das Opfer bei Google mit dem Suchbegriff „Alexa and Disney“ nach einem Alexa-Befehl und wurde zu einer Seite mit dieser Malware geleitet und installierte statt einem Skill die Adware.

Tipp: Setapp – die besten Mac-Apps jetzt 7 Tage kostenlos testen

So wurde das Sicherheitssystem überlistet

Der Hintergrund: Auf dem Mac wird Malware fast immer vom Nutzer selbst installiert, etwa weil er glaubt, einen Flash-Installer oder ein nützliches Skript herunterzuladen oder eine PDF-Datei öffnen will. Um den Rechner zu schützen, werden deshalb alle heruntergeladenen Programme von macOS zuerst geblockt und einer ganzen Reihe an Prüfungen unterzogen . So wird etwa nach einem gültigen Entwicklerzertifikat und einer Notarisierung gesucht und die Datei mit bekannter Malware abgeglichen. Andernfalls kann die App nicht gestartet werden. Wie Patrick Wardle in einer umfangreichen Analyse erläutert , gab es aber bis 11.3 einen Fehler in Apples Prüfsystem. Jede App besteht unter macOS aus bestimmten Komponenten, wird als App erkannt und geprüft. Der Fehler betraf Apps, die auf Skripten basieren und auf die sogenannte Shell zugreifen. Enthielt eine solche skript-basierte App keine sogenannte Info-Datei, wurde sie nicht als „Bundle“ behandelt und konnte ohne Warnung ausgeführt werden. Auch Malware-Autoren kannten diese Schwachstelle offenbar und nutzten sie bereits aus. Für die Installation ist weiterhin der Download einer Datei und das absichtliche Öffnen der App notwendig, durch die fehlende Systemwarnung hielten viele Nutzer eine solche Software aber vermutlich für unbedenklich und "überprüft".

Mit dem Update auf 11.3 hat Apple diesen Fehler behoben und das Ausführen dieser Dateien wird ebenfalls geblockt. Ein Update auf dieses System ist deshalb sehr zu empfehlen. Updates für Mojave und Catalina sind ebenfalls verfügbar, diese Versionen waren ebenfalls betroffen. (Update vom 28.4.2021: ältere Versionen von macOS waren nicht vom exakt gleichen Fehler betroffen, allerdings werden in den Sicherheitsupdates für Mojave und Catalina ebenfalls Schwächen von Gatekeeper behoben.)