Sicherheitsforscher haben ein neues Stück Mac-Malware entdeckt, aber einige seiner Funktionen werden noch etwas länger ein Rätsel bleiben. Diese neue Malware namens Tarmac (OSX/Tarmac) wurde über Online-Malwerbekampagnen (bösartige Werbung) an MacOS-Anwender verteilt.
Diese bösartigen Anzeigen führten Schurkencode im Browser eines Mac-Benutzers aus, um das potenzielle Opfer auf Websites umzuleiten, die Popups mit Software-Updates zeigen – in der Regel für den Flash Player von Adobe. Opfer, die auf diesen Trick hereingefallen sind und das Flash Player-Update heruntergeladen haben, würden am Ende ein Malware-Duo auf ihren Systemen installieren – zuerst die OSX/Shlayer-Malware und dann OSX/Tarmac, die von der ersten gestartet wurde.
Diese Werbekampagne zur Verbreitung der Shlayer+Tarmac-Kombination begann im Januar dieses Jahres, so Taha Karim, Sicherheitsforscher bei Confiant. Confiant veröffentlichte damals einen Bericht über die Malvertising-Kampagne im Januar 2019, entdeckte aber nur die Shlayer-Malware, nicht aber Tarmac.
Aber in einem vor zwei Wochen veröffentlichten Folgebericht grub Confiant tiefer in die – immer noch laufende – Malvertising-Kampagne und ihre Nutzlasten ein.
So fand Karim Asphalt, als Nutzlast der zweiten Stufe für die erste Shlayer-Infektion. Die Asphaltversionen, die der Forscher identifizierte, waren jedoch relativ alt, und die ursprünglichen Befehls- und Steuerserver der Malware wurden heruntergefahren – oder höchstwahrscheinlich an einen anderen Ort verlegt. Dies erschwerte die Analyse, da Karim keinen vollständigen Einblick in die Funktionsweise von Tarmac gewinnen konnte.
Alles, was im Moment bekannt ist, ist, dass Tarmac nach dem Herunterladen und Installieren von Tarmac auf infizierten Hosts Details über die Hardware-Einrichtung eines Opfers sammelt und diese Informationen an seinen Befehls- und Steuerungsserver sendet. An dieser Stelle würde Tarmac auf neue Befehle warten. Da diese Server jedoch nicht verfügbar sind, konnte Karim nicht den gesamten Umfang von Tarmac ermitteln.
In der Theorie sind die meisten Malware-Stämme der zweiten Stufe in der Regel sehr starke Malware-Stämme, die viele aufdringliche Merkmale aufweisen. Asphalt sollte, zumindest in der Theorie, eine sehr gefährliche Bedrohung sein. Doch das Geheimnis bleibt vorerst bestehen.