Am Wochenende waren Meldungen zu den ersten beiden nativen Malware-Sichtungen speziell für M1-Macs aufgekommen. Wie es aussieht, hat Apple da jedoch schnell drauf reagiert. Auch wenn noch nicht ganz klar ist, welchen Zweck die zweite gesichtete, potenzielle Schadsoftware mit dem Namen "Silver Sparrow" verfolgt, hat Apple nun gegenüber den Kollegen von MacRumors verlauten lassen, dass man die Entwickler-Zertifikate für die betroffenen Konten deaktiviert habe, was dazu führen sollte, dass sich keine weiteren Macs mehr mit der Malware infizieren können. "Silver Sparrow" nutzt offenbar die macOS Installer JavaScript API aus, um ihren Code auf den Mac zu bringen. Apple betonte in seinem Statement auch noch einmal, dass die davon ausgehende Gefahr nach wie vor unklar sei.

Durch den Zertifikatsmeachanismus müssen inzwischen sämtliche Mac-Apps auch außerhalb des Mac AppStore mit einem Entwickler-Zertifikat signiert und an Apple zur Validierung gesendet werden. Hier wird die Software dann automatisiert auf Schadcode gescannt und erst nach erfolgreichem Bestehen freigegeben.

Erst kürzlich wurde die erste Malware entdeckt, die auf einem M1-Mac kompiliert wurde und speziell auf diese Art von Macs abzielt. Nun haben die Sicherheitsspezialisten von Red Canary bereits die nächste Schadsoftware ausgemacht, bei der jedoch das genau Ziel noch unklar ist. Während die kürzlich entdeckte Malware eine sogenannte Adware ist und keinen direkten Schaden auf dem Mac auslöst, sammelt sie im Hintergrund verschiedene Nutzerdaten und blendet jede Menge Werbebanner und Popups ein, die teilweise auch auf schädliche Webseiten verlinken. Da die M1-Variante der Malware noch relativ neu ist, wird sie aktuell noch nicht von den gängigen Virenscannern entdeck.

Die neu entdeckte Malware namens "Silver Sparrow" nutzt offenbar die macOS Installer JavaScript API aus, um ihren Code auf den Mac zu bringen. Die davon ausgehende Gefahr ist allerdings nach wie vor unklar. Weder die Experten von Red Canary, noch ihre Partner konnten ein durch "Silver Sparrow" ausgelöstes Verhalten erkennen. Dennoch warnen die Sicherheitsforscher, dass von der Malware eine ernste Gefahr ausgehen könnte. Es ist also möglich, dass es sich um eine Standby-Malware handelt, die nur darauf wartet, aktviert zu werden.

Die Kollegen von Malwarebytes haben ermittelt, dass "Silver Sparrow" bis zum 17. Februar bereits 29.139 Macs in 153 Ländern befallen hat. Die Schwerpunkte sollen dabei vor allem in den USA, Großbritannien, Kanada, Frankreich und auch Deutschland liegen. Aktuell ist aber unklar, wie viele M1-Maschinen sich darunter befinden.

Gerade erst wurde ein Bericht veröffentlicht, wonach die Verbreitung von Malware auf dem Mac weiter rückläufig ist, da hat der Sicherheitsforscher Patrick Wardle (via Wired) nun offenbar die erste in Umlauf befindliche Malware entdeckt, die speziell auf M1-Macs zielt. Dabei handelt es sich um eine Adware aus der "Pirrit"-Familie namens "GoSearch22", die sich als Safari-Erweiterung auf den Mac schleicht. Ursprünglich wurde diese für Intel x86 Chips geschrieben, präsentiert sich nun aber als Version, die nativ auf einem M1-Mac kompiliert wurde und auf der Plattform läuft.

Während die Malware keinen direkten Schaden auf dem Mac auslöst, sammelt sie im Hintergrund verschiedene Nutzerdaten und blendet jede Menge Werbebanner und Popups ein, die teilweise auch auf schädliche Webseiten verlinken. Da die M1-Variante der Malware noch relativ neu ist, wird sie aktuell noch nicht von den gängigen Virenscannern entdeckt, wie Wardle warnt. Die Sicherheitsexperten von Red Canary ergänzen, dass man auch Anzeichen für weitere M1-Malware im Fahrwasser von "GoSearch22" entdeckt habe, diese aber derzeit noch untersuche.

Vor dem Hintergrund, dass Apple bereits die aktuellen Versionen des 13" MacBook Pro, MacBook Air und Mac mini mit einem M1-Chip bestückt und zugleich angekündigt hat, bis Ende kommenden Jahres sämtliche Mitglieder der Mac-Familie auf Apple Silicon umzustellen, war es nur eine Frage der Zeit, ehe die erste native Malware für diese Plattform auftaucht. Dennoch dürfte der Mac auch weiterhin als vergleichsweise sichere Plattform dienen.

Die Anti-Virus-Spezialisten von Malwarebytes haben ihren aktuellen "State of Malware" Bericht veröffentlicht, aus dem vor allem die Entwicklungen in Sachen Viren- und Malwareverbreitung im vergangenen Jahr hervorgehen. Erneut zeigt sich, dass der Mac nach wie vor eine vergleichsweise sichere Plattform ist. Den Zahlen zufolge waren die Gefahren durch Schadsoftware auf dem Mac im vergangenen Jahr sogar um 38% rückläufig. Wurden von Malwarebytes im Jahr noch insgesamt 120.855.305 Gefahren gesichtet, waren es in 2020 "nur" noch 75.285.427.

Allerdings sind die Zahlen auch ein Stück weit trügerisch. So ging vor allem die Zahl der Adware und unerwünschten Programme zurück, während "echte" Malware wie Backdoors, Data Stealers und Cryptowährungs-Miner um mehr als 61% zunahmen. Festgehalten werden muss dabei allerdings, dass dies in absoluten Zahlen auf dem Mac immer noch recht wenig ist. So machen die genannten Malware-Variationen lediglich 1,5% aller Gefahren auf dem Mac aus, während Adware und unerwünschte Programme für den Rest verantwortlich zeichnen.

Der gesamte Bericht kann auf der Malwarebytes- Webseite eingesehen werden.

Die sicherste Methode, Software für den Mac zu erwerben, ist nach wie vor über den Mac AppStore. Die verschiedenen Beschränkungen, die Apple den Entwicklern dort jedoch auferlegt, führten in der Vergangenheit immer mehr dazu, dass sich diese teilweise aus dem virtuellen Kaufhaus zurückzogen und ihre Software wieder über eigene Kanäle vertreiben. Dabei ist jedoch stets Vorsicht geboten, denn es tauchen aus dubiosen Quellen auch immer wieder manipulierte Versionen von eigentlich vertrauenswürdigen Apps auf. So auch bei einem aktuellen Fall, bei dem eine Malware-verseuchte Version der beliebten Mac-Firewall "Little Snitch" in einem russischen Forum aufgetaucht ist, wie Malwarebytes berichtet.

Die App enthält eine "EvilQuest"-Ransomware, die die Einstellungen und Dateien auf dem Mac verschlüsselt und für ihre Entschlüsselung ein Lösegeld fordert. Dieses ist zwar mit 50,- US-Dollar relativ gering, dennoch sollte niemand den Betrag bezahlen, da eine Entschlüsselung trotz der Zahlung nicht vorgenommen wird. Stattdessen sollte man den Mac auf ein TimeMachine-Backup zurücksetzen, welches man vor der Installtion der infizierten App angefertigt hatte.

Um gar nicht erst Gefahr zu laufen, in derartige Fallen zu tappen, sollte man stets darauf achten, Software ausschließlich von offiziellen Seiten zu erwerben und zu laden - oder eben doch weiterhin auf den Mac AppStore als Quelle zu setzen.

Die Sicherheitsforscher aus Googles Project Zero haben in einem Blogpost auf eine offenbar schon seit längerer Zeit bestehende Sicherheitslücke hingewiesen, über die sich Angreifer mithilfe einer manipulierten Webseite Zugriff auf ein beliebiges iPhone verschaffen können. Ist dies gelungen, konnte ein Code auf das angegriffene Gerät eingeschleust werden, über den verschiedene persönliche Daten wie Kurznachrichten, Fotos oder GPS-Daten in Echtzeit abgegriffen werden konnten. Die Sicherheitsforscher vermuten, dass tausende von Besuchern pro Woche im Zeitraum von ca. zwei Jahren auf entsprechend manipulierte Webseiten zugegriffen haben. Betroffen waren offenbar Betriebssystemversionen von iOS 10 bis zu den ersten Versionen von iOS 12.

Das Project Zero Team setzte Apple von dem Problem im Februar dieses Jahres in Kenntnis, woraufhin das Unternehmen die Lücke noch im selben Monat mit der Veröffentlichung von iOS 12.1.4 schloss. Allgemein wiesen die Sicherheitsforscher darauf hin, dass das Risiko eines solchen Angriffs nie ganz ausgeschlossen werden kann und Apple in diesem Fall sehr schnell reagiert habe. Ein Neustart eines betroffenen Geräts hat den eingeschleusten schadhaften Code übrigens deaktiviert. Generell sollte man sein iPhone also durchaus hin und wieder mal neustarten. Alle Informationen zu dem genutzten Angriffsvektor können auf Googles Project Zero Blog eingesehen werden.

Apples taiwanesischer Chip-Fertiger TSMC wurde am Wochenende Opfer eines Computervirus, der gleich mehrere Fertigungsstätten in Tainan, Hsinchu und Taichung heimsuchte und dazu führte, dass die Produktion an diesen Standorten heruntergefahren oder teilweise eingestellt werden musste, wie Bloomberg berichtet. Inzwischen sind laut Aussage des Unternehmens 80% der betroffenen Systeme wieder in Betrieb, dennoch warnt man seine Kunden derzeit vor möglichen Verzögerungen bei den hergestellten Chips. Ob auch Apple hiervon betroffen ist, kann aktuell nicht abschließend bestätigt werden, Sorgen um Verzögerungen beim iPhone würde ich mir allerdings derzeit nicht machen. Der Ausfall betrug lediglich einige Stunden, was keine größere Delle in der im Juni angelaufenen Chip-Produktion für das iPhone hinterlassen haben dürfte.

Bei der entdeckten Malware handelt es sich laut einem von TSMC ausgegebenen Statement um eine Variante der WannaCry-Ransomware aus dem vergangenen Jahr, die durch die Installation eines Tools von einem unbestimmten Anbieter eingeschleppt wurde. Es handelt sich also nicht um einen klassischen Hacker-Angriff, als vielmehr um eine Unachtsamkeit bei TSMC - mit durchaus teuren Konsequenzen. Der Konzern warnt seine Anleder im Zusammenhang mit dem Problem vor einem möglicherweise gerunger ausfallenden Umsatz.

Apples macOS ist offenbar aktuell das Ziel eines neuen Hacker-Angriffs, der auf dem DNSChange-Trojaner basiert, der bereits im Jahr 2011 über vier Millionen Computer infizierte. Dies berichtet aktuell The Hacker News. Die Malware verändert die DNS-Serveradressen auf den befallenen Computern und leitet hierdurch den Webverkehr über die Server der Hacker, wobei verschiedene sensible Daten abgefangen werden können. Dies wird klassischerweise als "Man in the Middle Attacke" bezeichnet. Die nun gesichtete Variante dieses Trojaners fört auf den Namen OSX/MaMi. Der Ex-NSA Hacker Patrick Wardle hat sich die Arbeitsweise des Trojaners einmal genauer angesehen und herausgefunden, dass die Malware zusätzlich auch noch ein neues Root-Zertifikat installiert, um hierüber auch auf verschlüsselte Verbindungen zugreifen zu können.

Darüber hinaus kann der OSX/MaMi-Trojaner auf einem infizierten Rechner auch die folgenden Aktionen ausführen:

• Screenshots aufnehmen
• Mausaktionen simulieren
• Sich als Startobjekt positionieren
• Dateien hoch- und runterladen
• Bestimmte Befehle ausführen

Darüber hinaus sind noch einige Details zu dem neuen Angriffsszenario unbekannt. Wardle geht jedoch davon aus, dass die Hacker sich auf Standardmethoden zum Verteilen des Trojaners verlassen, also beispielsweise infizierte E-Mails und gefälschte Sicherheitswarnungen versenden. Während Apple und die gängigen Antiviren-Anbieter sicherlich schnell auf die Bedrohung reagieren werden, sollte man selbst in den Netzwerkeinstellungen auf die IP-Adressen 82.163.143.135 und 82.163.142.137 bei den DNS-Einstellungen achten. Hierbei handelt es sich um die Hacker-Server.