LastPass warnt, dass Angreifer Mac-Nutzer mit Malware infizieren, indem sie gefälschte Passwort-Manager einsetzen. Diese schädlichen Apps imitieren vertrauenswürdige Software und verbreiten sich über irreführende GitHub-Repositories. Mac-Nutzer, die sie installieren, riskieren schwerwiegenden Datendiebstahl.
Überblick über die Angriffskampagne
Angreifer erstellen gefälschte Apps, die legitime Software nachahmen, und laden sie in GitHub-Repositories hoch. Sie bewerben diese Klone mit SEO-Tricks bei Google und Bing, damit Nutzer sie finden. Sobald Nutzer auf diesen Seiten landen, laden sie die Programme herunter oder werden über sogenannte “ClickFix”-Methoden weitergeleitet.
In diesen ClickFix-Angriffen fordert die gefälschte App den Nutzer auf, einen Befehl ins Terminal einzufügen. Dieser Befehl lädt eine schädliche Nutzlast herunter — die AMOS-Malware — speichert sie im Verzeichnis /tmp über base64-codierte URLs und installiert sie.
Was ist AMOS und wie funktioniert es?
AMOS (auch Atomic genannt) funktioniert als Malware-as-a-Service und kostet rund 1.000 USD pro Monat. Die Entwickler haben eine Hintertür-Komponente hinzugefügt, die den Zugriff auch nach der Infektion aufrechterhält, oft unbemerkt.
Angreifer nutzen diesen dauerhaften Zugriff, um langfristige Kontrolle über kompromittierte Macs zu erlangen. Dadurch können sie Daten exfiltrieren, Systeme überwachen und Entdeckung vermeiden.
Gefälschte Ziele und Verteilungstaktiken
Die gefälschten Passwort-Manager imitieren über 100 bekannte Programme, darunter 1Password, Dropbox, Adobe After Effects, Notion und Thunderbird. Die GitHub-Repositories wirken offiziell, sind jedoch irreführend.
Diese Repositories enthalten einen “Download”-Button, der auf eine andere Seite verweist. Dort werden Nutzer aufgefordert, einen Terminal-Befehl auszuführen. Angreifer verschlüsseln die URL, um die Erkennung zu erschweren, und nutzen das /tmp-Verzeichnis, um die Malware zu entpacken und auszuführen.
Wie sich Nutzer schützen können
Um nicht Opfer zu werden, sollten Mac-Nutzer Software nur von offiziellen Anbieter-Webseiten herunterladen. Taucht eine Variante auf GitHub auf, sollten Nutzer die Legitimität des Anbieters und Community-Bewertungen prüfen, bevor sie fortfahren.
Nutzer sollten niemals Terminal-Befehle ausführen, die sie nicht vollständig verstehen. Ein zufällig eingefügter Befehl kann Malware installieren. Überprüfen Sie Softwaresignaturen, stellen Sie sicher, dass macOS-Versionen aus vertrauenswürdigen Quellen stammen, und verwenden Sie anerkannte Sicherheits-Tools, um Risiken zu verringern.
Fazit
LastPass warnt: Gefälschte Passwort-Manager infizieren Macs mit Malware über irreführende SEO- und GitHub-Tricks. Angreifer verbreiten die AMOS-Malware über ClickFix-Angriffe, Hintertüren und Imitationen. Wer ausschließlich vertrauenswürdige Quellen nutzt und verdächtige Befehle meidet, kann sich als Mac-Nutzer wirksam schützen.
0 Kommentare zu „LastPass warnt: Gefälschte Passwort-Manager infizieren Macs mit Malware“