Mac-Trojaner versteckt sich in Werbebannern

Die auf macOS abzielende Malware wird in großem Stil per Banner-Werbung ausgeliefert und steganographisch versteckt, warnt eine Sicherheitsfirma.
Von Leo Becker – auf Heise.de gefunden

Mac-Trojaner versteckt sich in Werbebannern
Scheint immer noch zu funktionieren: Malware getarnt als Flash-Player-Update. (Bild: Confiant)

Ein Mac-Schädling wird derzeit offenbar massiv über Werbenetzwerke verteilt: Ruft ein Browser unter macOS das manipulierte Banner ab, erfolgt die Weiterleitung auf eine Malware-Site, die den Trojaner Shlayer zum Download anbietet – getarnt als vermeintliches Flash-Player-Update.

Browser-Hijacking durch versteckte JavaScript-Weiterleitung

Damit eine frühzeitige Erkennung und Blockade der manipulierten Banner durch die Werbenetzwerke möglichst verhindert wird, setzen die Kriminellen auf Steganographie, um Daten in den Werbe-Bildchen zu verstecken, wie aus einer Analyse der Sicherheitsfirma Confiant hervorgeht. Beim Öffnen der Banner-Anzeige wird zuerst geprüft, ob Apple-Schriftfamilien installiert sind. 

Ist das der Fall, werden per JavaScript-Code und Canvas-Element im Bild verstecke Informationen extrahiert, wieder als JavaScript-Code zusammengesetzt und ausgeführt. Dadurch erfolgt das “Browser-Hijacking” in Gestalt der plötzlichen Weiterleitung auf die Malware-Seite.

Die Malware setzt voraus, dass Nutzer das vermeintliche Flash-Player-Update eigenständig installieren. Shlayer wurde in der Vergangenheit per Apple-Entwicklerzertifikat signiert, um den in macOS integrierten Schutzmechanismus Gatekeeper nicht anschlagen zu lassen. Einer vorausgehenden Analyse zufolge, handelt es sich bei Shlayer um einen reinen “Dropper”, der mit Shell-Skripten Schadcode nachladen kann. Gewöhnlich wird dadurch Adware auf dem Mac installiert, etwa Mugthesec zur Manipulierung von Suchergebnissen im Browser.

Millionenschäden durch Malvertising 

Werbenetzwerke werden seit längerem gezielt eingesetzt, um Malware auszuliefern (“Malvertising”). Die Sicherheitsfirma schätzt, dass die jüngste Kampagne mit der versteckten Mac-Malware zu Spitzenzeiten Mitte Januar rund 5 Millionen Mal pro Tag abgerufen wurde. Für Betrüger ist das ein bequemer Weg, um Schad-Software möglichst weit zu verbreiten. Das Problem gehe dabei weit über den einzelnen Nutzer hinaus, der auf diese Weise Malware auf seinen Mac bringt, merkt ein Sicherheitsforscher an: Für Werber, Netzwerke und Website-Betreiber entstehe ein Millionenschaden.

DATENLECKSÜber eine Milliarde Zugangsdaten im Internet

Der Sicherheitsforscher Troy Hunt konnte an eine der größten Sammlungen von Passwörtern und E-Mail-Adressen gelangen. Betroffen sind Millionen Nutzer. Die Sammlung könnte sogar unvollständig sein.
Artikel veröffentlicht am 17. Januar 2019, 12:35 Uhr, Moritz Tremmel

Die Zugangsdaten von Millionen Nutzern wurden im Internet veröffentlicht.
Die Zugangsdaten von Millionen Nutzern wurden im Internet veröffentlicht. ( Bild: Leon Neal/Getty Images)

Über eine Milliarde unterschiedliche Zugangsdaten aus verschiedenen Quellen enthält die Passwortsammlung “Collection #1”. Insgesamt umfasst sie über 87 GByte. Der australische Sicherheitsforscher Troy Hunt hat die Sammlung auf seinem Blog analysiert und in den Dienst Have I been pwned (HIBP)integriert. Hier können Nutzer überprüfen, ob ihre E-Mail-Adresse oder ihr Passwort von einem Datenleck betroffen waren.

Die Zugangsdatensammlung ist die bisher größte öffentlich zugängliche Sammlung ihrer Art. Sie wurde laut Troy Hunt über ein “populäres Hackingforum” angeboten und konnte bei dem Clouddienst Mega heruntergeladen werden. Insgesamt zählte Troy Hunt 773 Millionen unterschiedliche E-Mail-Adressen und 22 Millionen unterschiedliche Passwörter, verteilt auf über 12.000 Dateien. Namensgeber für die Sammlung war deren Überordner: “Collection #1”.

In einem Forumspost wurde laut Troy Hunt darauf hingewiesen, dass nicht alle Passwörter ursprünglich im Klartext vorgelegen hatten, sondern aus Hashes berechnet wurden. Diese sollen laut dem Post in über 2.000 Dateien abgelegt worden sein, in deren Namen auch die potenzielle Herkunft der Daten genannt wird. Unter ihnen finden sich auch deutschsprachige Domains, darunter ein Berliner Konzertkartenhändler, eine Hochschule aus Hamburg, mehrere Foren oder eine Plattform, die Psychotherapeuten vermittelt. Ob die Daten wirklich von den genannten Domains stammen und rückgerechnet wurden, kann nicht mit Sicherheit gesagt werden.

In einem der einschlägigen Foren behaupten Nutzer, dass die Zugangsdatensammlung von Troy Hunt unvollständig sei. Es kursieren Dateien mit 600 GByte an Zugangsdaten, die über Torrents zur Verfügung gestellt werden.

Bin ich betroffen?

Über den Dienst Have I been pwned (HIBP) kann überprüft werden, ob eine E-Mail-Adresse Teil der Collection #1 oder eines anderen Datenlecks ist. Auf der Webseite kann sich ein Nutzer zudem registrieren und wird informiert, sobald Zugangsdaten mit seiner E-Mail-Adresse von Have I been pwned entdeckt werden. Umgekehrt lässt sich auf der Webseite auch überprüfen, ob ein Passwort bereits in einer der Zugangsdatensammlungen aufgetaucht ist. Ob ein Nutzer allerdings sein Passwort in die Weboberfläche tippen möchte, muss er selbst entscheiden.

Der Dienst Firefox Monitor greift ebenfalls auf HIBP zurück; auch hier kann sich ein Nutzer anzeigen lassen, ob sein Passwort Teil eines Datenlecks oder Hacks ist.

Quelle: Golem.de

Super-Vectoring: Telekom schaltet 250 MBit/s für 2,3 Millionen Anschlüsse

In mehreren Städten bietet die Telekom nun Super Vectoring. Die Linecards in den Multifunktionsgehäusen des Netzbetreibers wurden gewechselt, der Kunde kann bestellen.Artikelveröffentlicht am9. Januar 2019, 11:32 Uhr, Achim Sawall

Neue Linecards kommen.
Neue Linecards kommen. (Bild: Deutsche Telekom)

Die Telekom hat in den vergangenen vier Wochen an 2,3 Millionen Anschlüssen die Datenübertragungsrate mit Super Vectoring auf bis zu 250 MBit/s (Megabit pro Sekunde) erhöht. Das gab das Unternehmen am 9. Januar 2019 bekannt. Die Anzahl der Anschlüsse mit bis zu 250 MBit/s stieg um zwei Millionen auf rund 16 Millionen. Die Zahl der Anschlüsse mit einfachem Vectoring mit bis zu 100 MBit/s erhöhte sich durch die Nachrüstung von VDSL-Gebieten um 300.000 Anschlüsse.

So wurden unter anderem Berlin, Duisburg und Mannheim mit mehr als hunderttausend Anschlüssen und mehrere Dutzend Anschlüsse im südosthessischen Bad Soden-Salmünster, Großdubrau in der Oberlausitz und Herzlake im Landkreis Emsland in Niedersachsen mitausgebaut.

Super Vectoring benötigt eine andere Linecard mit größerem Prozessor als Vectoring im Multifunktionsgehäuse des Netzbetreibers, das zuvor mit Glasfaser erschlossen sein muss. Super-Vectoring weitet die spektrale Bandbreite von 17 MHz auf 35 MHz aus.

Die Telekom vermarktet Super-Vectoring als Magentazuhause XL. Das Angebot von 20 Euro in den ersten sechs Monaten gilt nur für Neukunden. Danach kostet der Tarif monatlich 55 Euro. Die Vertragslaufzeit beträgt 24 Monate. Damit liegt der Monatspreis bei rund 46 Euro. Magentazuhause XL beinhaltet eine Datenflatrate sowie Telefonie ins Festnetz und die deutschen Mobilfunknetze.

Der Vectoringausbau der Telekom dauert ein Jahr länger als bisher angekündigt, hatte das Unternehmen Ende Dezember 2018 erklärt. Bis Ende 2020 wird die Telekom den FTTC-Ausbau (Fiber to the Curb) weitgehend abschließen. Danach werde FTTH (Fiber to the Home) großflächig ausgebaut.

Quelle: Golem.de