Eigentlich sollte man glauben, dass sich mit so einem simplen Trick nicht viel holen lässt. Die Schadsoftware "Shlayer" tarnt sich als Update für den Flash Player. Ein geradezu "lächerlich plumper" Angriff, wie es "Arstechnica" formuliert, und doch auch einer, der offenbar verblüffend gut funktioniert.

Verbreitung

"Shlayer" ist laut den Sicherheitsforschern von Kaspersky Lab nicht nur die derzeit am stärksten verbreitete Schadsoftware für Macs, seit ihrem ersten Auftauchen vor rund zwei Jahren sind mittlerweile fast 32.000 verschiedene Varianten aufgetaucht. Und noch eine weitere Zahl: Die Angreifer haben bisher 143 verschiedene Domains genutzt, um infizierte Rechner zu kontrollieren. Meistverbreitet ist Shlayer in den USA, wo 31 Prozent aller Infektionen verortet werden. An zweiter Stelle steht dann schon Deutschland mit 14 Prozent, gefolgt von Frankreich und Großbritannien mit jeweils zehn. Insgesamt soll bereits jeder zehnte Mac-OS-Nutzer zum Ziel von Shlayer geworden sein – erfolgreich war die Malware natürlich bei erheblich weniger Fällen.

Simpler Aufbau

Auch die Umsetzung ist ziemlich banal, wie Kaspersky analysiert. Zumeist besteht Shlayer aus simplen Shell-Skripten, bei einer aktuellen Variante gab es dann aber zumindest ein Upgrade auf Python. Dabei wird zunächst das System analysiert und dann die eigentliche Schadsoftware zur Ausführung gebracht. Dabei handelt es sich um eine Adware namens "Cimpli", die den Nutzern wiederum eine Safari-Erweiterung namens "Any Search" unterzujubeln versucht. Lassen sich diese darauf ein, leitet die Extension dann den gesamten Internetverkehr über einen Proxy-Server der Angreifer um, wo der Datenverkehr manipuliert wird. Das geht dank der Installation eines selbst signierten TLS-Zertifikats mit der Erweiterung auch mit verschlüsselten Verbindungen.

Geld machen die Angreifer schlussendlich damit, dass sie Links im Browser manipulieren und die Nutzer auf "Affiliate Links" zu falschen Seiten weiterschicken, wo sie an den Werbeeinnahmen beteiligt werden.

Überzeugungsarbeit

Ebenso simpel ist die Art, wie die Nutzer zur Installation gebracht werden. Shlayer versteckt sich nämlich in raubkopierter Software oder in Videos, die heruntergeladen wurden. Werden diese gestartet, gibt es dann den Hinweis, doch den Flash Player zu aktualisieren. Dass dieser Plan aufgeht, verblüfft umso mehr, da Flash mittlerweile kaum mehr genutzt wird und zudem in wenigen Monaten komplett eingestellt werden soll.

Dass Shlayer so erfolgreich ist, dürfte nicht zuletzt daran liegen, dass die Nutzer zum Teil damit regelrecht bombardiert werden. Dadurch reicht auch eine niedrige Erfolgsrate schon aus, um finanziell einträglich zu bleiben.

Tipps

Für die Nutzer gilt der simple Rat, bei solchen unerwarteten Installationsdialogen vorsichtig zu sein und nicht ohne nachzudenken zuzustimmen. Ganz generell gibt es für die meisten Nutzer derzeit keinerlei Grund mehr, irgendetwas anderes mit dem Flash Player zu tun, als ihn zu deinstallieren. (red, 25.1.2020)