In Untergrundforen wird seit kurzem ein Trojaner-Baukasten namens Weyland-Yutani zum Kauf angeboten, mit dem Kriminelle mit wenigen Mausklicks einen Schädling für Mac OS X erstellen können, wie Sicherheitsexperte Brian Krebs berichtet. Derartige Baukastensysteme gab es bislang nur für Windows. Der 1000 US-Dollar teure Malware-Builder erzeugt Schädlinge, die auf dem Mac des Opfers Tastatureingaben überwachen um etwa an Login-Informationen oder Kreditkarteninformationen zu gelangen – vergleichbar mit den Windows-Schädlingen ZeuS und SpyEye.

Anders als in der Windows-Welt existieren für Mac OS X derzeit noch keine Exploit-Kits, die den Schädling durch eine Sicherheitslücke unbemerkt ins System schleusen könnten. Im Zweifelsfall muss der Angreifer sein Opfer also dazu überreden, die verseuchte Datei auszuführen – bespielsweise per Social Engineering, etwa über Facebook.

Mit wenigen Klicks zum Mac-Trojaner. (Bild: Krebs on Security)

Weyland-Yutan klinkt sich in Chrome und Firefox ein, um gezielt die dort getätigten Formulareingaben zu überwachen. Gegenüber Krebs gab der Entwickler an, bereits daran zu arbeiten, auch den vorinstallierten Safari-Browser anzuzapfen. Wie auch seine Windows-Verwandschaft unterstützt der Mac-Schädling sogenannte "Web Injects", Addons die den Inhalt von Webseiten beim Aufruf manipulieren können.

Zudem ist seit wenigen Tagen die professionell gestaltete Scareware MAC Defender im Umlauf, wie Intego berichtet. Die Scareware steht den bekannten Windows-Pendants in nichts nach: Sie täuscht Infektionen vor und öffnet alle paar Minuten Pornoseiten, um den Effekt zu verstärken.

Wer verhindern will, dass Webseiten selbstständig Installationsprogramme starten können, muss in Safari das Häkchen bei "Sichere Dateien nach dem Laden öffnen" entfernen. (Bild: heise Security)

Die Scareware gelangt durch den Besuch einer präparierten Webseite in Form eines Zip-Archivs auf den Rechner. Ist man mit Safari im Netz unterwegs, beginnt der Download automatisch und auch der im Archiv enthaltene Installer wird ohne zutun des Anwenders gestartet. Will man Safari dieses Verhalten abtrainieren, muss unter Einstellungen, Allgemein das Häkchen "Sichere" Dateien nach dem Laden öffnen deaktivieren. Vor der Installation wird der Nutzer nach seinem Passwort gefragt. (rei)