Digital
Schweiz

Retefe, MacSpy, MacRansom: Bund warnt vor Malwarewelle gegen Schweizer Mac User

Die Schadsoftware MacSpy und MacRansom bedroht Mac-Nutzer.
Die Schadsoftware MacSpy und MacRansom bedroht Mac-Nutzer.

Auf die Schweiz rollt eine Malware-Welle zu – so schützen sich Mac- und Windows-Nutzer

Schadsoftware-Wellen gegen Windows-Nutzer kennen wir seit Jahren. Nun warnt der Bund eindringlich vor Angriffen gegen Mac-Nutzer. Die Gefahr steigt, da seit Kurzem jedermann Spionage- und Erpressungs-Trojaner für Mac-Computer kaufen kann.
15.06.2017, 13:3715.09.2017, 11:46
Mehr «Digital»

In den vergangenen Wochen hat die Melde- und Analysestelle Informationssicherung (MELANI) des Bundes verschiedene Schadsoftware-Wellen beobachtet, die sich gezielt gegen Schweizer Nutzer des Mac-Betriebssystems von Apple richten.

Konkret versenden die Kriminellen E-Mails mit einer ZIP-Datei im Anhang, welche eine detaillierte Rechnung einer angeblichen Bestellung enthalten soll. Als Absender werden bekannte Schweizer Firmen wie Swisscom oder Digitec missbraucht. Manche E-Mails tarnen sich auch als Nachrichten von Behörden wie der Polizei oder eines Steueramtes. Sie verlocken den Empfänger zum Öffnen der Nachricht, indem beispielsweise von einer Gerichtsvorladung oder einer Steuerrückzahlung die Rede ist.

Wird der Anhang geöffnet, versucht das Schadprogramm den E-Banking-Trojaner Retefe zu installieren. Retefe ist ein in der Schweiz gut bekanntes Schadprogramm, das bislang von den Angreifern gegen das Windows-Betriebssystem eingesetzt wurde. Zu den Hauptzielen des Trojaners zählen E-Banking-Nutzer in der Schweiz. Seit einigen Wochen haben Kriminelle gezielt Mac-User im Visier.

Schadsoftware gegen Mac-Nutzer wird zum lukrativen Geschäft

Dass die Angriffe gegen Mac-Computer zunehmen, erstaunt nicht. Nutzer von macOS-Systemen sollten sich darauf einstellen, in der kommenden Zeit mit neuen Malware-Kampagnen konfrontiert zu werden. Aktuell wird etwa der Spionage-Trojaner MacSpy und der Verschlüsselungs-Trojaner MacRansom auf dem Schwarzmarkt angeboten.

MacRansom soll Geld von Familienangehörigen erpressen

«Der Anbieter bewirbt das Tool als Möglichkeit, um ‹leichtes Geld› von Familienangehörigen, Freunden und Geschäftspartnern zu erhalten – also von Opfern, auf deren Mac unter Umständen direkter Zugriff besteht und eine unbemerkte Installation von Hand möglich ist. Man könne den Trojaner aber auch für die Verbreitung per AirDrop oder E-Mail anpassen – gegen eine Servicegebühr, so der Malware-Entwickler. Mac-Nutzer seien gewöhnlich bereit, über 1000 Dollar für die Entschlüsselung zu bezahlen, schreibt der Anbieter – einmal hätte ein Geschäftsbesitzer sogar über 26'000 Dollar rausgerückt.»

Interessant ist vor allem das Geschäftsmodell der Schadsoftware-Hersteller: Die Entwickler verkaufen ihre Malware «as a Service», also als Dienstleistung in der Cloud, die man für eine bestimmte Zeit mieten und nutzen kann. Das heisst, Menschen mit kriminellen Absichten, aber ohne Hacking-Know-how, können sich Trojaner oder Ransomware einfach kaufen oder mieten. Online-Angriffe dürften daher auch künftig zunehmen.

Die Entwickler des Mac-Trojaners geben eine eingeschränkte Version von MacSpy gratis ab. Sie bietet die Möglichkeit, alle Tastenanschläge mitzuloggen und den Nutzer über das integrierte Mikrofon auszuspionieren.

«Die Malware kann sich auch in die iCloud-Synchronisation hängen und so quasi live alle mit dem iPhone aufgenommenen Bilder direkt an den Betreiber der jeweiligen Spyware-Variante weiterschicken», schreibt das deutsche Tech-Portal Winfuture

Wenn man von der Qualität des MacSpy-Codes überzeugt sei, könne man gegen Bezahlung eine Vollversion mit erweiterten Features bekommen. Diese lasse sich unter anderem als Erpresser-Trojaner einsetzen oder erlaube den Vollzugriff auf die Daten des Zielrechners.

So verläuft der zweistufige Angriff auf Schweizer Mac- und Windows-Nutzer

Die Angriffe werden immer spezifischer, schreibt der Bund in seiner heutigen Mitteilung. So versuchen die Kriminellen zuerst herauszufinden, welches Betriebssystem und welche Software ihre potenziellen Opfer installiert haben. Hierzu senden sie zunächst eine E-Mail mit einem sogenannten Tracking-Pixel. Das ist ein 1 mal 1 Pixel grosses Bild, das für den Nutzer unsichtbar ist. 

Wenn dieses Bild heruntergeladen wird (was abhängig von der E-Mail-Konfiguration automatisch geschehen kann), wird eine Verbindung mit dem Server der Angreifer aufgebaut, auf dem das Bild abgespeichert ist. Nun werden automatisch verschiedenste Daten über den Computer des Opfers (Mail-Programm, Webbrowser, Betriebssystem etc.) an die Angreifer übermittelt.

In einem zweiten Schritt senden sie eine präparierte E-Mail, die auf das entsprechende Betriebssystem – Windows oder Mac – zugeschnitten ist.

So gehen die Angreifer vor

Die erste E-Mail versucht (automatisch) zu tracken, welches Mail-Programm, welchen Webbrowser und welches Betriebssystem das Opfer nutzt. Die zweite E-Mail versucht einen E-Banking-Trojaner (z.B. Rete ...
Die erste E-Mail versucht (automatisch) zu tracken, welches Mail-Programm, welchen Webbrowser und welches Betriebssystem das Opfer nutzt. Die zweite E-Mail versucht einen E-Banking-Trojaner (z.B. Retefe) zu installieren, der gezielt auf Windows- oder Mac zugeschnitten ist.

So können sich Mac- und Windows-Nutzer schützen

MELANI empfiehlt die folgenden Sicherheitsmassnahmen allen Computernutzenden – unabhängig davon, welches Betriebssystem sie benutzen:

  • «Stellen Sie sicher, dass Ihr E-Mail-Programm oder Webdienst das automatische Herunterladen von Bildern oder anderen Dateien, welche in einer E-Mail vorhanden sind, blockt. Oft ist dieser Schutz schon voreingestellt.
  • Laden Sie keine Bilder in einer E-Mail Nachricht herunter, wenn Sie nicht vollständig sicher sind, woher das Bild stammt.
  • Misstrauen Sie E-Mails, die Sie unaufgefordert erhalten: Nicht nur bei E-Mails von unbekannten Personen sollte man kritisch sein, sondern auch bei bekannten Absendern von Firmen oder Schweizer Behörden. Es gilt Vorsicht walten zu lassen. Besonders bekannte und vertrauenswürdige Firmen (Apple, Microsoft, Post, Swisscom, Digitec, Katonspolizei, Steueramt etc.) werden gerne als gefälschte Absenderadressen missbraucht.
  • Lassen Sie sich nicht unter Druck setzen. Nehmen Sie sich genügend Zeit für Abklärungen und fragen Sie im Zweifelsfall bei der Firma nach. Benutzen Sie dabei nicht die allenfalls in der E-Mail angegebene Telefonnummer, sondern suchen Sie die Telefonnummer beispielsweise auf der bekannten Firmenwebseite oder dem Onlinetelefonbuch heraus.
  • In seltenen Fällen kann es vorkommen, dass das Opfer zufälligerweise tatsächlich eine E-Mail von der Firma erwartet. Aber auch in diesen Fällen gibt es zahlreiche Hinweise, mit welchen man eine betrügerische E-Mail von einer echten E-Mail unterscheiden kann. Auch hier gilt: Nehmen Sie sich Zeit, die Plausibilität zu überprüfen.»
  • Stellen Sie sicher, dass potenziell schädliche E-Mail Anhänge bereits auf Ihrem E-Mail-Gateway bzw. Spam-Filter blockiert bzw. gefiltert werden.
  • Versichern Sie sich, dass solche gefährlichen E-Mail-Anhänge auch dann blockiert werden, wenn diese in Archiv-Dateien wie beispielsweise ZIP, RAR oder aber auch in geschützten Archiv-Dateien (z.B. in einem passwortgeschützten ZIP) an Empfänger in Ihrem Unternehmen versendet werden.
  • Zusätzlich sollten sämtliche E-Mail-Anhänge blockiert werden, welche Makros enthalten (z.B. Word, Excel oder PowerPoint Anhänge mit Makros).

Missgeschicke, die wir alle nur zu gut kennen

Video: watson

Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group

1 / 24
Nordkoreas berüchtigte Hacker – so arbeitet die Lazarus Group
Die Lazarus Group schlägt weltweit zu...
Auf Facebook teilenAuf X teilen
DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
twint icon
Oder unterstütze uns per Banküberweisung.
Das könnte dich auch noch interessieren:
16 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Rudolf die Banane
15.06.2017 14:14registriert Januar 2016
Danke für die Sicherheitstipps für das Mailöffnen. Wieder was neues gelernt!
244
Melden
Zum Kommentar
avatar
maweiss83
15.06.2017 14:34registriert September 2016
Gehe ich richtig in der Annahme, dass für eine Überwachung ein Programm installiert werden muss? Beim Mac müssen ja, neben einer Passworteingabe, nicht verifizierte Programme über die Systemsteuerung zuerst für die Installation freigegeben werden. Klar ist es wichtig wachsam zu sein und falsche E-Mail erkennen. Aber man wird nicht gleich gehackt wenn man ein falsches E-Mail aus Versehen öffnet.
216
Melden
Zum Kommentar
avatar
Papa la Papp
15.06.2017 18:05registriert Mai 2016
Alles Panikmache und nun, da es sonst langweilig würde auch gegen Mac.
Wer einen Mailanhang von unbekanntem Absender öffnet und erst noch eine Zip-Datei ist einfach - sorry - zu blöd für Bits and Bytes.
219
Melden
Zum Kommentar
16
So verändert KI das Vorgehen von Tätern, die pädokriminelle Inhalte erstellen

Künstliche Intelligenz (KI) verändert die Erstellung von pädokriminellem Material, umgangssprachlich Kinderpornografie genannt: «Die KI-Täter passen weniger in das klassische Täterprofil, das wir bisher kannten», sagte Regula Bernhard Hug, Leiterin der Geschäftsstelle beim Kinderschutz Schweiz.

Zur Story