Hallo und herzlich willkommen zu einem neuen Beitrag auf meinem Blog,
Vor knapp zwei Jahren kündigte Apple seinen Umstieg auf die ARM-Architektur mit Apple Silicon an, die ersten Mac-Modelle kamen dann im Spätherbst 2020 auf den Markt. Trotzdem gibt es immer noch Entwickler, die ihre Software nicht nativ für Apple Siliocn umgestellt haben. Was umso bemerkenswerter ist, weil nun die erste Schadsoftware für den M1 auftauchte.
Hört auf den Namen „SysJoker“
SysJoker wurde zunächst von Sicherheitsforschern des Cybersecurity-Unternehmens Intezer auf WIndows- und Linux-Computern entdeckt. Kurze Zeit später wies der Sicherheitsforscher Patrick Wardle in einem Blogbeitrag auf Objective-See daraufhin hin, dass es davon auch eine native Variante für macOS und den Apple Silicon gibt. Damit ist es die erste offizielle Malware für Apples neue Architectur.
Tarnt sich als Videodatei
Die Malware selbst ist als Videodatei getarnt, aber in Wirklichkeit ist es eine universelle Binärdatei, die sowohl Intel- als auch arm64-Builds enthält. Damit kann sie auch nativ auf M1-Macs ausgeführt werden. SysJoker kommt im Gewand einer Datei mit dem Namen types-config.ts daher, tarnt sich also als Videofile, wie es etwa auf DVDs zum Einsatz kommt.
„SysJoker“ ist nur ein Einfallstor
Die Schadsoftware „SysJoker“ dient dabei nur als Eintrittskarte für Payloads, die im Anschluss geladen und ausgeführt werden. Einmal geladen, kopiert sie sich unter dem Namen updateMacOs in den Ordner Library/MacOsServices/ des aktuell angemeldeten Nutzers. Anschließend wird die bei jedem Systemstart geladen und automatisch ausgeführt. Der eigentliche Angriff erfolgt dann über eine aufgebaute Verbindung zu einem Command-und-Control-Server, wo eine Payload geladen wird. Das ist ein typisches Vorgehen für Trojaner und eröffnet „SysJoker“ vielfältige Möglichkeiten. KeyLogger zum Abgreifen von Passwörtern, Ransomware-Attacken, bei denen Kriminelle auf SSD-Daten zugreifen können, sind nur zwei mögliche Szenarien.
Schädling wird von Anti-Malware-Tools erkannt
DIe Schadsoftware „SysJoker“ ist schon seit geraumer Zeit verfügbar, das ist eine schlechte und gute Nachricht zugleich. Schlecht, weil sie schon aktiv ist. Gut ist jedoch, dass deshalb die Sicherheitsmechanismen von macOS und Anti-Malware-Tools den Schädling erkennen können, so dPatrick Wardle. Wer wissen möchte, ob er sich die Schadsoftware dennoch bereits unbemerkt auf seinem Intel- oder M1-Mac eingefangen hat, kann beispielsweise die von Wardle entwickelten kostenlosen Apps KnockKnock, LuLu und BlockBlock nutzen.
Macht´s gut und bis zum nächsten Mal hier auf dem appletechnikblog, Euer Patrick a.k.a. Meister des Apfels
Einmalig spenden
Monatlich spenden
Jährlich spenden
Choose an amount
Or enter a custom amount
Wir wissen deine Spende sehr zu schätzen.
Wir wissen deine Spende sehr zu schätzen.
Wir wissen deine Spende sehr zu schätzen.
SpendenMonatlich spendenJährlich spenden
Kommentar verfassen