Neue Malware kommt als Flash-Installer und trickst Gatekeeper am Mac aus

Malware kommt als Flash-Installer

Die aktuelle Warnmeldung kommt von Intego, die mit solchen Fundstücken natürlich immer auch Werbung für ihr Antivirus Programm am Mac machen. Das ist an sich ok, aber nicht nur bei Malware ist Vorsicht geboten, sondern auch bei Antivirus-Software muss man sich der Risiken bewusst sein.

Warum ich am Mac auf Antiviren-Software verzichte, hatte ich ja schonmal erläutert. Trotzdem nochmal kurz der Hinweis: Jede Antivirus-Software greift tief ins System ein und nicht selten sind die Sicherheitslücken dieser Programme schwerwiegender als die des Betriebssystems. Dazu kümmert sich Apple mit sogenannten "stillen Updates" schon recht gut darum, dass er Mac sauber bleibt und bekannte Malware ferngehalten wird. So wie sie es auch mal bei der Zoom-App gemacht hatten, die ganz üble Sachen auf dem Mac veranstaltet hat.

Wieso man am Mac keine Antivirus-Software installieren sollte, das lege ich in diesem Beitrag dar. AV Apps sind nicht nur unzuverlässig, sondern auch eine Angriffsfläche. Ein bewusster Umgang mit dem Computer ist viel besser!

Wieso man am Mac keine Antivirus-Software installieren sollte: AV Apps sind nicht nur unzuverlässig, sondern auch eine Angriffsfläche. Ein bewusster Umgang mit dem Computer ist viel besser!

Neue Malware nutzt den User, um Gatekeeper auszuhebeln

Dass sich Malware über Programme installiert, die sich als Flash-Player ausgeben, ist laut Intego schon ein alter Hut. Diese Fake-Flash-Installer werden schon seit gut 10 Jahren verwendet, um neben dem Flash-Player auch andere – bösartige – Software auf dem Computer des Nutzers zu installieren.

Apple hat die Sicherheitslatte jedoch mit den macOS Versionen immer höher gelegt, sodass Installer für Malware erst Adminrechte erhalten müssen, bevor sie sich ins System schreiben können.

Der vermeintliche Flash-Player wünscht, dass ihr ihn ohne den Gatekeeper ausführt – warum nur (Grafiken: Intego).

Der vermeintliche Flash-Player wünscht, dass ihr ihn ohne den Gatekeeper ausführt – warum nur (Grafiken: Intego).

Die Warnungen des "Wachhundes" am Mac

Würde man den "echten" Flash-Player installieren, käme die Software von einem zertifizierten Entwickler – nämlich Adobe. Da die Malware-Entwickler aber natürlich kein verifizierten Developer bei Apple sind, wirft der Mac beim Start des Installers eine Warnmeldung aus und unterbindet den Start.

In der Regel erscheint ein Hinweis, dass nur Programme von verifizierten Entwicklern und solche, die aus dem App Store kommen, installiert werden können. Diese Sicherheitsmaßnahme basiert auf dem Gatekeeper, der überwacht, was der Benutzer am Mac installieren möchte.

Die neue Malware hebelt die Sache aus, indem sie den Benutzer dazu anhält, den Installer nicht mit einem Doppelklick, sondern über das Kontextmenü (rechte Maustaste) und dem Menüpunkt "Öffnen" zu starten. Dadurch entfällt die Warnung von Gatekeeper und das Übel nimmt seinen Lauf.

Fake-Flash-Installer in Google Suchergebnissen

Das Vorgehen, um den Benutzer zum Installieren des Flash-Players zu bewegen, zeigt ebenfalls die kriminelle Energie, die die Malware-Programmierer haben. Sie zeigen auf Webseiten ihres Netzwerks dem Besucher einen Hinweis, dass sein Flash-Player veraltet ist. Im Hinweis ist ein Link zum Download der aktuellen Version – natürlich dem Malware-Flash-Player.

Google scannt alle Webseiten im Index zwar regelmäßig nach solcher Malware, aber in diesem Fall konnte Google noch nicht reagieren, da das Schadprogramm noch sehr neu war. Das gleiche Problem hat man gleichfalls bei anderen Suchmaschinen wie DuckDuckGo, Bing, Yahoo, Ecosia und anderen Anbietern.

Der Benutzer wird mit der Meldung, dass sein Flash-Player nicht mehr aktuell ist, dazu überredet, die Malware selbst zu laden.

Der Benutzer wird mit der Meldung, dass sein Flash-Player nicht mehr aktuell ist, dazu überredet, die Malware selbst zu laden.

Kleiner Tipp am Rand: niemals den Flash-Player installieren

Ich hatte schon vor Jahren meinem Flash-Player den Garaus gemacht. Zu viele Sicherheitslücken und zu wenige, sinnvolle Funktionen sind unterm Strich für mich das Fazit zum Flash-Player.

Davon abgesehen, dass heute kaum noch jemand Flash auf seiner Webseite einsetzt – unter anderem auch, weil Flash nicht mehr auf Apple Geräten vorinstalliert ist – würde ich stark davon abraten, den Flash-Player zu nutzen. Diese Software ist dermaßen von Sicherheitslücken betroffen, dass man schon von einem "Sicherheitsloch" sprechen kann. Aus dem Grund, bitte nichts installieren, was irgendwie mit Flash zu tun hat.

Und wenn euch ein Programm auffordert, dass ihr es mit der rechten Maustaste und "Öffnen" starten müsst, dann sollten alle Alarmglocken angehen und die App wird am besten schnellstmöglich in den Papierkorb befördert.


*** Nur kurze Zeit *** Dual-USB-C-Netzteil von Aukey hier als 50% Deal bei Amazon. Dazu den Code QDBY9LLW bei der Kasse eintragen.

2 Kommentare

  1. Froyo52 sagt:

    Nicht Gatekeeper wird in diesem Fall ausgetrickst, sondern der/die NutzerIn.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Alle News 1x pro Woche

Du magst die Artikel auf Sir Apfelot?
Dann trage dich in meinen wöchentlichen Newsletter ein.