Malvertising: Suche nach Standardbefehlen für Macs liefert Infostealer

Eine perfide Masche nutzen Cyberkriminelle derzeit im Netz, um arglose Nutzer zur Installation von Malware zu bewegen. Bei der Suche nach Standardbefehlen für macOS leiten die Ergebnisse auf Webseiten, die zwar Befehle anzeigen – anstatt die gesuchte Funktion auszuführen, verankern die jedoch Infostealer im System.

Werbung zu den Suchergebnissen leitet auf eine Malware-Seite.

(Bild: heis eonline / cku)

Die Suche auf Google etwa nach dem macOS-Befehl zum Entleeren des DNS-Cache mittels "mac flush dns cache" liefert in der Werbung der Ergebnisliste eine Webseite zurück, die vorgibt, den Befehl zu erläutern. Die URL mac-safer[.]com zeigt nach Klick an, wie der Befehl aufzurufen sei.

Die beworbene Webseite zeigt einen Befehl an, der jedoch Schadsoftware herunterlädt und installiert.

(Bild: heise online / cku)

Der Befehl beginnt jedoch /bin/bash -c "$(curl -fsSL $(echo ... und hat keinerlei Ähnlichkeit mit üblichen Befehlen zum Löschen von DNS-Caches (sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder – wobei der Aufruf mit sudo legitim zu einer Passwort-Abfrage führt). Die Webseite kündigt zudem an, dass bei dem Befehlsaufruf das Passwort abgefragt werde. Hier erfolgt das jedoch in böswilliger Absicht.

Der Befehl entrümpelt jedoch mitnichten den DNS-Cache, sondern lädt einen Schädling von "icloudservers[.]com" nach, mit dem Namen "install.sh". Das Script wird ausgeführt und fragt das Passwort ab, was es mit dem Befehl "dscl" überprüft, und startet die Datei "update". Es handelt sich laut Virustotal-Erkennungen – nur wenige VIrenscanner schlagen darauf an – um einen Info-Stealer, der es demnach auf Informationen abgesehen hat. Klassischerweise geht es dabei um Zugangsdaten zu Diensten, aber auch Krypto-Wallets sind oftmals im Visier solcher Malware.

Auf der bösartigen Webseite bieten die Drahtzieher noch vermeintliche Lösungen für weitere Probleme an.

Die beworbene bösartige Webseite gibt vermeintliche Lösungen für weitere Problemstellungen. Alle verteilen natürlich Malware.

(Bild: heise security / ju)

Ironisch ist etwa die Unterseite "How to Remove Malware from Your Mac" – das soll offenbar mit der Infostealer-Malware klappen. Aber auch andere häufige Suchanfragen deckt die Webseite ab: Überhitzungsprobleme des Macs lösen, Speicherplatz freiräumen auf dem Mac, nicht-funktionierende Kamera am Mac in Gang bringen und diverse mehr.

Malvertising bleibt ein andauerndes Problem. Anfang des Jahres haben Kriminelle etwa versucht, mit einer Imitation der Homebrew-Website Mac-Nutzerinnen und -Nutzern Schadcode unterzujubeln.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo