Technik
Auch Macs sind verwundbar, wenn der Nutzer die falsche Software installiert.
Auch Macs sind verwundbar, wenn der Nutzer die falsche Software installiert.(Foto: imago/Ulrich Roth)

Xagent öffnet Hintertür: Berüchtigte Hacker nehmen Macs ins Visier

Sicherheitsforscher entdecken eine Malware, die auf Mac-Rechnern unter anderem Passwörter und iPhone-Backups stehlen kann. Sie stammt offenbar von dem wahrscheinlich gefährlichsten russischen Hackerkollektiv.

Die Hackergruppe APT28 alias "Fancy Bear" alias "Sofacy Group" alias "Pawn Storm" ist berühmt-berüchtigt, weil sie bereits weltweit Unternehmen, Regierungen und Behörden angegriffen hat. Unter anderem soll sie im vergangenen Jahr für die Hacks der Demokratischen Partei im US-Wahlkampf und die Attacken auf den Deutschen Bundestag verantwortlich sein. Sie ist seit spätestens 2007 aktiv und wird laut Verfassungsschutz vermutlich direkt von staatlichen Stellen in Russland gesteuert.

Bisher schien es so, als seien vor allem Windows-Rechner durch die Malware der Hackergruppe gefährdet, auch Angriffe auf iOS- und Android-Geräte sind bekannt. Mac-Rechner schienen dagegen bisher von "Xagent" verschont geblieben zu sein, doch das hat sich spätestens jetzt geändert. Das Sicherheitsunternehmen Bitdefender hat eine Version der Malware entdeckt, die auf Macs eine Hintertür öffnet, über die die Angreifer unter anderem Passwörter und Backups stehlen können.

Modul für iPhone-Backups

Die Malware ist modular aufgebaut und raffiniert programmiert. Wenn sie installiert wurde, prüft sie zunächst, ob eine Fehlersuche (Debugger) aktiv ist. Wenn dem so ist, beendet es sich selbst, um zu verhindern, dass es ausgeführt - und entdeckt - wird. Ansonsten wartet es auf eine Internetverbindung, um mit den Kommando-Servern der Hacker Kontakt aufzunehmen. Steht die Kommunikation, führt der Schädling die einzelnen Module aus. Sie analysieren unter anderem Hard- und Software-Konfiguration sowie die laufenden Prozesse. Außerdem installieren sie Dateien, nehmen Screenshots oder greifen Passwörter ab. Das wichtigste Modul dient laut Bitdefender jedoch dazu, gespeicherte iPhone-Backups zu stehlen. Die Ähnlichkeiten zu Xagent-Versionen für Windows und Linux seien groß, auch die Adresse eines Kommando-Servers sei nahezu identisch.

Macs sind offensichtlich schon mehrere Monate im Visier der russischen Hackergruppe. Bitdefender vermutet, dass sie den Trojaner "Komplex" für die Installation der Hintertür einsetzt. Er wurde bereits im vergangenen Herbst von Paloalto Networks entdeckt und nutzt eine Schwachstelle in der Antivirus-Software MacKeeper aus. Das Programm wurde von mehreren Tech-Medien als sehr fragwürdig bewertet und AV-Test schloss das Tool im Juli 2016 als "nicht prüfbar" aus einem Vergleichstest aus, weil es drei Monate keine Updates erhalten hatte.

Es scheint also so zu sein, dass die Angreifer auf die unfreiwillige Mithilfe der Mac-Nutzer angewiesen sind. Für sie gilt wie für Windows-Nutzer: Wenn ein Programm installiert werden soll, das nicht im offiziellen App-Store zu finden ist, muss man unbedingt vorher recherchieren, ob es bekannt ist und als unbedenklich gilt. Im Zweifel verzichtet man besser auf die Software.

Quelle: n-tv.de

Empfehlungen