Der offenbar weit verbreitete Mac-Trojaner "Shlayer" wird in einer neuen Variante ausgeliefert, die versucht, Apples in macOS integrierte Schutzfunktion Gatekeeper ganz abzuschalten. Die meist als Update für Adobes Flash-Player getarnte Malware ist mit einem Apple-Entwickler-Zertifikat signiert, erklären Sicherheitsforscher, so dass die in macOS integrierte Schutzfunktion Gatekeeper nicht anschlägt. Zudem werden gängige Kommandozeilen-Tools verwendet, um Installationsroutinen auszuführen, sobald der Nutzer den vermeintlichen Flash-Updater ausführt.

Shlayer will Root-Rechte erschleichen



Um Root-Rechte zu erlangen, setzt die modifizierte Form des Trojaners auf eine Technik, die der Sicherheitsforscher Patrick Wardle schon 2017 auf der Hacker-Konferenz Defcon vorgestellt hat, erklärt die Sicherheitsfirma Carbon Black. Dafür werde die von Apple abgekündigte Funktion AuthorizationExecuteWithPrivileges eingesetzt und so ein gängiger Systemdialog eingeblendet, der das Passwort zur Installation der Software abfragt. Ein derartiger Dialog ist auch beim Einspielen legitimer Software häufig anzutreffen und dürfte viele Anwender nicht abschrecken.

Gibt der Nutzer sein Passwort ein, könne die Malware anschließend die Schutzfunktion Gatekeeper abschalten und erhält dadurch die Möglichkeit, weiteren Code nachzuladen und ungehindert auszuführen. In den analysierten Varianten der Malware wurde dabei nur vergleichsweise harmlose Adware auf dem Mac eingeschleust, heißt es in der Analyse der Firma, die Payload könne sich aber jederzeit ändern.

Der seit mindestens einem Jahr kursierende Schädling Shlayer wird in großem Stil über Webseiten ausgeliefert – sowie in Bannerwerbung versteckt und kann so auch beim Besuch legitimer Seiten auf den Mac gelangen oder zumindest zum Download angeboten werden.

Mac-Apps können Safari-Verlauf in Mojave auslesen



Ein Entwickler warnt außerdem davor, dass ein Bug in macOS 10.14 Apps erlaubt, den Browser-Verlauf von Safari auszulesen. Das war bis hin zu macOS 10.13 ohne weiteres möglich, Version 10.14 Mojave soll dies aber eigentlich verhindern. Der Bypass lasse sich wohl selbst von durch Apple beglaubigten Apps einsetzen, schreibt der Entwickler Jeff Johnson, der den Fehler an den Hersteller gemeldet hat.

Sandboxed Apps, wie sie etwa über Apples Mac App Store vertrieben werden, können den Bug aber offenbar nicht ausnutzen. Im vergangenen Jahr wurde bekannt, dass über den Mac App Store vertriebene, vermeintliche Anti-Malware-Tools den Browser-Verlauf des Nutzers an Fremd-Server übermittelten – darunter auch Software von Trend Micro. (lbe)