AppleJeus

Cyber-Gauner interessieren sich zunehmend für die Erstellung von Bedrohungen für Geräte, auf denen OSX ausgeführt wird. Eine der neuesten Bedrohungen dieser Art, auf die Cybersicherheitsexperten aufmerksam gemacht haben, heißt AppleJeus. Die AppleJeus-Bedrohung ist eine Trojaner-Hintertür mit mehreren interessanten Funktionen. Die Autoren des AppleJeus-Trojaners verbreiten ihn mithilfe eines gefälschten Geldwechsels für digitale Assets. Jeder Benutzer, der den Dienst nutzen möchte, wird aufgefordert, eine Handelsplattform für digitale Vermögenswerte herunterzuladen. Sobald die Benutzer die Datei herunterladen und installieren, wird die Backdoor des AppleJeus-Trojaners jedoch unbeaufsichtigt auf ihren Systemen installiert. Neben der Variante dieser Bedrohung für Mac-Computer haben die Autoren auch eine Kopie entwickelt, die auch Windows-Systemen nachkommt. Die Windows-Variante dieser Bedrohung besitzt keine zu beeindruckenden Eigenschaften, aber die OSX-Kopie weist einige merkwürdige Aspekte auf, die es wert sind, untersucht zu werden.

Eine beschädigte Datei wird auf GitHub gehostet

Um die Benutzer zu täuschen und ihre Systeme zu kompromittieren, ist die Backdoor des Ap-pleJeus-Trojaners als Scheinbörse mit dem Namen 'Celas' oder 'JMT Trading' maskiert. Beide Dienste bestehen aus und sind nicht mit echten Unternehmen oder Unternehmen verbunden. Die Entwickler der AppleJeus-Hintertür haben sich dafür entschieden, die beschädigte Datei der Bedrohung auf der legitimen Plattform GitHub zu hosten. Der Name der Datei lautet "JMT-Trader.pkg". Die Tatsache, dass die Urheber dieser Bedrohung diese Datei auf einer seriösen Plattform wie GitHub hosten, kann einige Benutzer zu der Annahme verleiten, dass nichts faul ist und der Service echt ist.

Erhält Ausdauer

Um die Persistenz auf dem fehlerhaften Host zu gewährleisten, stellt die Ap-pleJeus-Backdoor mithilfe eines Installationsskripts eine Sammlung von Dateien bereit und erzeugt dann einen neuen Startdämon, der sicherstellt, dass die Bedrohung bei jedem Neustart des Computers ausgeführt wird. Für den Abschluss dieses Angriffsschritts sind Administratorrechte erforderlich, dies ist jedoch für die Urheber der Bedrohung kein Problem. In der AppleJeus Trojan-Backdoor werden die Benutzer aufgefordert, ihre Administratoranmeldeinformationen einzugeben und grünes Licht für die Installation zu geben.

Trotz der kurzen Liste von Befehlen, die die Bedrohung ausführen kann, sind sie mehr als genug, damit die Angreifer fast die vollständige Kontrolle über den kompromittierten Computer erlangen. Die AppleJeus-Backdoor kann:

• Laden Sie Dateien auf den infizierten Host hoch.
• Führen Sie Dateien auf dem infizierten Host aus.
• Führen Sie Remote-Befehle auf dem infizierten Host aus.
• Selbstbeendigung.

Nur aufgrund der komplexen Verbreitungsmethode der Angreifer kann davon ausgegangen werden, dass sie über große Erfahrung auf dem Gebiet der Cyberkriminalität verfügen. Dies veranlasste Cyber-Sicherheitsforscher zu der Annahme, dass hinter diesem Angriff möglicherweise ein APT (Advanced Persistent Threat) steckt. Bei der Untersuchung des AppleJeus-Backdoortrojaners stellten Experten einige enge Parallelen zwischen dieser Bedrohung und anderen Arten von Malware fest, die mit dem bekannten nordkoreanischen ATP namens Lazarus in Verbindung gebracht wurden. Vom Lazarus-APT neu freigesetzte Bedrohungen sind hochpotent und bedrohlich. Aus diesem Grund sollten Sie auf jeden Fall in eine seriöse Anti-Malware-Anwendung investieren, die Ihr System sicher hält.