Ignorieren Sie nicht das Mac-2FA-Malware-Problem
Ich habe gerade mein brandneues MacBook Pro mit dem M4 Max-Chip erhalten. Unabhängig davon, ob Sie gerade auf die neueste Version aktualisiert haben oder die neue Version nutzen, um ein M3-Schnäppchen zu ergattern, sollten Sie eines tun: auf das MacBook Pro-Malware-Problem achten. Nein, im Ernst. Tut mir leid, Apple-Benutzer, aber Ihr MacBook ist, genau wie mein MacBook, nicht immun gegen die Malware-Bedrohung. Es gibt tatsächlich 99 neue Gründe, warum Sie es genauso ernst nehmen sollten wie ich. Hier erfahren Sie, was Sie über das MacBook Pro 2FA-Umgehungs-Infostealer-Problem wissen müssen.
Ich habe 99 Probleme mit dem MacBook Pro – und das Ignorieren von 2FA-Stealern gehört nicht dazu
Ich habe kürzlich darüber berichtet, dass MacBook-Benutzer, unabhängig vom Chip, auf der Hut sein sollten, wenn Cyberkriminelle im Einsatz sind eine neue Ransomware-Variante, die es auf sie abgesehen hat. Jetzt haben Threat-Intelligence-Experten des Mac-Sicherheitsspezialisten Intego gewarnt, dass Benutzer von 99 neuen Varianten der Infostealer-Malware angegriffen werden.
Die Malware-Analysten von Intego haben 99 „einzigartige neue Beispiele von Stealer-Malware“ gemeldet, was darauf hindeutet, dass Bedrohungsakteure versuchen, der Entdeckung zu entgehen, indem sie die Angriffsfläche so weit wie möglich ausbreiten. Diese Theorie wird durch die Tatsache bestätigt, dass der Chefsicherheitsanalyst von Intego, Joshua Long, sagtedass sogar „relativ unbekannte Browser“ ins Visier genommen wurden. Die Liste ist nahezu endlos und umfasst die üblichen Verdächtigen von Google Chrome und Apple Safari sowie Firefox, Arc, Brave, Microsoft Edge, Opera, Vivaldi und die von Mozilla Firefox abgeleiteten Versionen Pale Moon und Waterfox.
Long sagte, das Malware-Analyseteam von Intego sei kürzlich auf 99 einzigartige Beispiele Base64-codierter Shell-Skripte gestoßen. Diese verwendeten alle eine Verschleierungstechnik, um drei Base64-codierte Zeichenfolgen zu vermischen, die dann decodiert und als Befehl ausgeführt wurden. Dieser Befehl ist eigentlich ein weiteres Bash-Skript, dieses Mal jedoch eines, das AppleScript-Code enthält, um nach einem gemounteten Volume mit dem Namen „Installer“ zu suchen. Wenn eine ausführbare App-Datei gefunden wird, wird sie in den Ordner „hidden/tmp“ auf Ihrem MacBook Pro kopiert, der auch den Namen „Installer“ trägt.
Anschließend werden nach Möglichkeit drei weitere Befehle ausgeführt: Einer entfernt erweiterte Attribute aus der Datei, um die Ausführung des Attributs apple.quarantine zu verhindern, ein anderer macht die Datei über die Befehlszeile als App ausführbar und schließlich führt ein dritter den Schadcode aus Installer-App.
Das gefälschte MacBook Pro-App-Installationsprogramm ist Anmeldedaten-Malware
Bei den gefälschten Installations-Apps, nach denen das bösartige Skript sucht, um sie zu kopieren und auszuführen, handelt es sich, wie Long gewarnt hat, um Stealer-Malware, „die darauf ausgelegt ist, Kryptowährungs-Wallets, Browser-Cookies, Microsoft Word-Dokumente und mehr zu sammeln und zu exfiltrieren“.
Am wichtigsten sind meiner bescheidenen Meinung nach die Browser-Cookies, auf die diese bösartigen Anwendungen abzielen. Diese als Sitzungscookies bezeichneten Cookies können es einem Hacker ermöglichen, auf die Konten zuzugreifen, bei denen Sie bereits angemeldet sind, ohne Ihre Anmeldeinformationen erneut eingeben zu müssen, einschließlich der Zwei-Faktor-Authentifizierung. Mit anderen Worten, Ein Angreifer, der über ein Sitzungscookie verfügt, kann die Anforderungen Ihres 2FA-Kontos umgehen.
So schützen Sie Ihr neues MacBook Pro vor Sitzungs-Cookie-Diebstahl
„Wenn Sie Intego VirusBarrier verwenden“, sagte Long, „sind Sie bereits vor dieser Malware geschützt.“ Das Ausführen dieser Art von macOS-Antiviren-Sicherheitssoftware ist keine völlig dumme Idee, obwohl man von einem Anbieter natürlich erwarten würde, dass er dies empfiehlt. Alle zusätzlichen Sicherheitsebenen, die Sie zwischen Ihrem MacBook Pro und Angreifern aufbauen können, müssen als lohnenswert erachtet werden.
Das bedeutet jedoch nicht, dass Sie unbedingt Geld für ein Antiviren-Abonnement ausgeben müssen. Die wichtigsten Abhilfemaßnahmen gegen eine solche Bedrohung laufen auf zwei Dinge hinaus: sich der Bedrohung bewusst zu sein und wachsam zu bleiben. Nachdem Sie nun wissen, dass die Bedrohung besteht, sollten Sie sich darüber im Klaren sein, dass die Hauptinfektionsmethode eine Phishing-Kampagne sein wird, die am häufigsten E-Mail als Angriffsvektor nutzt.
In solchen E-Mails wird versucht, Sie zum Herunterladen eines Skripts oder einer ausführbaren Datei zu verleiten, indem Sie auf einen Link klicken oder einen schädlichen Anhang öffnen. Letztendlich wird ein Angreifer darauf achten, dass Sie sich bei einem Konto anmelden, bei dem die Malware den Vorgang abfangen kann, um das Sitzungscookie zu erfassen und es als Mittel für den dauerhaften Zugriff auf das Zielkonto zu verwenden. Laut einem Google-Sprecher können Passkeys dazu beitragen, solche Angriffe einzudämmen, indem sie einen stärkeren Schutz vor „automatisierten Bots, Massen-Phishing-Angriffen und gezielten Angriffen bieten als SMS, App-basierte Einmalkennwörter und andere Formen der herkömmlichen Zwei-Faktor-Authentifizierung“. Chromium-basierte Browser verfügen über integrierte Schutzmaßnahmen gegen Malware wie App-gebundene Verschlüsselung, gerätegebundene Sitzungsanmeldeinformationen und die sicheren Browsing-Mechanismen von Google Chrome. Apple verfügt auch über einen macOS-Schlüsselbundschutz. Letztlich ist es der größte Schutz, darauf zu achten, was Sie anklicken. Denken Sie also daran, wenn Sie Ihr brandneues MacBook Pro auspacken.
Ich habe Apple um weitere Ratschläge für MacBook Pro-Besitzer gebeten.
