Fortschrittlicher Mac-Malware-Angriff entdeckt: Kostenlose beliebte Apps als Tarnung eingesetzt

Ein alarmierender Mac-Malware-Angriff ist ans Licht gekommen, bei dem kostenlose Versionen beliebter Apps wie das Bildschirmaufnahmeprogramm Loom, der Kryptowährungs-Manager LedgerLive und das MMO-Spiel Black Desert Online verwendet werden, um ahnungslose Nutzer zu täuschen.

Gut organisierter Angriff

Der Angriff scheint gut organisiert zu sein, mit gefälschten Mac-App-Angeboten, die über seriös wirkende Google-Anzeigen und Phishing-E-Mails beworben werden.

Die Malware-Kampagne wurde von Moonlock entdeckt, einer Cybersicherheitsgruppe innerhalb von MacPaw, dem Entwickler der CleanMyMac-App. Laut Moonlock schien der Angriff zunächst nur auf eine Nachahmung von Loom abzuzielen.

„Im Moonlock-Labor haben wir kürzlich eine fortschrittliche und alarmierende Bedrohung entdeckt, die sich über von Google gesponserte URLs verbreitet. Diese Stealer-Malware zielt auf macOS ab und gibt sich als die beliebte Anwendung Loom aus“, so ein Sprecher von Moonlock.

Untersuchung begann nach einer falschen Google-Anzeige

Die Untersuchung begann, als eine Google-Anzeige auftauchte, die scheinbar die offizielle Loom-App bewarb. Obwohl die Anzeige legitim aussah und Nutzer dazu verleitete, darauf zu klicken, erwies sich der Link als bösartig.

Weitere Untersuchungen ergaben, dass Anzeigen und Promotionen für andere Apps ebenfalls verwendet wurden, um dieselbe Malware zu verbreiten. Zu den betroffenen Apps gehören unter anderem:

• Black Desert Online
• Calendly
• Chrome
• Figma
• Firefox
• Gatherum
• LedgerLive
• PartyLauncher
• Safari
• Zoom

Gefährliche Promotionslinks

Eine der Phishing-Kampagnen zielt speziell auf YouTube-Ersteller ab und bietet ihnen einen angeblich erstellerspezifischen Download-Link für Black Desert Online.

Der LedgerLive-Link ist besonders gefährlich, da er beim Herunterladen die echte App ersetzt, wodurch Angreifer Zugriff auf die Kryptowährungs-Wallets der Opfer erhalten und diese leeren können. Der bösartige Klon imitiert das Aussehen und die Funktionalität der legitimen App genau, was es für Benutzer schwierig macht, den Eingriff zu erkennen.

Die Malware kann unter anderem Dateien, Hardware-Informationen, Passwörter, Browserdaten und Schlüsselbund-Dump-Präferenzen stehlen.

Es wird angenommen, dass eine gut organisierte Gruppe, bekannt als Crazy Evil, hinter dieser Kampagne steckt.

Nutzer werden aufgefordert, nur Apps aus dem Mac App Store oder von vertrauenswürdigen Entwickler-Websites herunterzuladen und zu überprüfen, ob die URL beim Klicken auf den Download-Link nicht zu einer anderen Domain wechselt.