Den Auftakt macht eine Timeline der Angriffe auf Mac OS X. Von 2004 bis heute sind dort die wichtigsten Schädlinge aufgeführt – von Würmern und Spyware über Trojaner und Exploits bis hin zu Viren oder Scareware. Ergänzt werden die Einträge mit Links zu Beiträgen über die jeweiligen Sicherheitsrisiken.
Timeline Mac OS X Angriffe
2004
- April: Proof-of-Concept für Trojaner unter Mac OS X („Mac/Amphimix-A“), keine Verbreitung „in the wild“
Sophos: „Mac OS X MP3 Trojan horse threat overhyped, says Sophos“ - Oktober: Erster Wurm für Mac OS X („SH/Renepo-A“), keine Verbreitung „in the wild“
Sophos: „Renepo worm targets Mac OS X users, Sophos reports“
2006
- Februar: Instant-Messaging-Wurm für Mac OS X („OSX/Leap-A“), sehr geringe Verbreitung
- Februar: Wurm verbreitet sich über Bluetooth („OSX/Inqtana-A“), sehr geringe Verbreitung, keine Schadfunktion
- November: Erster Virus für Mac OS X (Macarena), fehlerhafter Proof-of-Concept ohne Verbreitung „in the wild“
Sophos: „Macarena Mac OS X malware – no need to panic“
2007
- Januar: „Month of Apple Bugs“ – Veröffentlichung von 31 Schwachstellen in Mac OS X und Anwendungen, darunter einige kritische
the Month of Apple Bugs
Apple Fun – Announcements and discussion about the Month of Apple Bugs - März: Pwn2Own-Wettbewerb auf der CanSecWest – Dino Dai Zovi kompromittiert Benutzer-Account über Drive-by-Infektion
Robert Lemos, SecurityFocus: „A Mac gets whacked, a second survives“
Ryan Naraine: „10 questions for MacBook hacker Dino Dai Zovi“ - Mai: Erster Plattformübergreifender Makro-Wurm für OpenOffice infiziert Windows, Linux und Mac OS X („SB/BadBunny-A“), keine Verbreitung „in the wild“, da von den Entwicklern direkt an Sophos geschickt
„BadBunny seen in „the wild“? OpenOffice multi-platform macro worm discovered“ - Juni: Charlie Miller (Black Hat USA) – „Hacking Leopard: Tools and Techniques for Attacking the Newest Mac OS X“
Präsentation (PDF)
Whitepaper (PDF) - November: Erster „DNS-Changer“-Trojaner für Mac OS X (RSPlug), wird als angeblicher Video-Codec verbreitet, findet einige Opfer
Graham Cluley, Sophos: „Mac OS X RSPlug Trojan horse: in pictures“
2008
- Februar: Erste Scareware in Form von Fake-Virenscannern (MacSweeper, Imunizator), eigentlich nur Flash-Anwendungen im Browser
Sophos: „Poisoned TV website adverts lead to PC and Mac scareware“
SophosLabs: „Poisoned Adverts hit TV sites“ - März: Pwn2Own-Wettbewerb auf der CanSecWest – Charlie Miller, Jake Honoroff und Mark Daniel kompromittieren Benutzeraccount über Drive-by-Infektion
Zero Day Initivative, Tipping Point DVLabs: „PWN to OWN Day Two: First Winner Emerges! (updated)“ - August: Als angeblicher Vide-Codec verbreiteter Trojaner installiert Hintertür („Troj/RKOSX-A“)
Graham Cluely, Sophos: „A new Trojan horse for Mac OS X?“
Graham Cluely, Sophos: „Mac malware – mea culpa“ - November: Erster Trojaner wird als angeblicher Key-Generator über Raubkopien verbreitet („OSX/Jahlav-A“), keine nennenswerte Verbreitung
Graham Cluely, Sophos: „More Mac OS X malware discovered“
2009
- Januar: Erster Trojaner gibt sich als Raubkopie von iWork ’09 („OSX/iWorkS-A“)
Graham Cluely, Sophos: „Reports of new Mac Trojan horse in pirated version of iWork ’09“ - Januar: Ein Trojaner gibt sich als Crack-Programm für eine Raubkopie von Photoshop aus
Graham Cluely, Sophos: „Reports of Mac Trojan in pirated Adobe Photoshop CS4“ - Februar: Vincenzo Iozzo (Black Hat DC) – „Let Your Mach-O Fly“ (Medien)
- März: Dino Dai Zovi, Charlie Miller (CanSecWest) – „Hacking Macs for Fun and Profit“ (PDF)
- März: Pwn2Own-Wettbewerb auf der CanSecWest – Charlie Miller kompromittiert Benutzer-Account über Drive-by-Infektion; Nils kompromittiert Benutzer-Account über Drive-by-Infektion
Terri Forslof, Tipping Point DVLabs: „Pwn2Own 2009 Day 1 – Safari, Internet Explorer, and Firefox Taken Down by Four Zero-Day Exploits“
Robert Lemos, SecurityFocus: „Browsers bashed first in hacking contest“ - März: Neue Version des Trojaners RSPlug tarnt sich als angebliches HDTV/DTV-Programm mit den Namen „MacCinema“
Graham Cluely, Sophos: „Apple Mac malware: caught on camera“ - April: Charlie Miller, Vincenzo Iozzo (Black Hat Europe) – „Fun and Games with Mac OS X and iPhone Payloads“
Medien
Präsentation (der angegebene Link ist falsch): PDF - Mai: Erster Mail-Warum für Mac OS X (Tored) ist schlampig programmiert und erreicht keine große Verbreitung
Graham Cluely, Sophos: „Tored – a lame email worm for Mac OS X“ - Juli: Dino Dai Zovi (Black Hat USA) – „Advanced Mac OS X Rootkits“ (Medien)
- August: Erste Mac-OS-X-Version mit rudimentärer Schadsoftware-Erkennung: Mac OS X Snow Leopard erkennt zwei Trojaner-Familien, wenn sie von Safari oder Mail geladen werden
Graham Cluely, Sophos: „Snow Leopard malware protection in action“
Chester Wisniewski, Sophos: „Is Snow Leopard’s bundled anti-malware enough?“ - November: Das Spiel „Lose/Lose“ löscht (als dokumentiertes Verhalten!) während des Spiel zufällig ausgewählte Dateien
Graham Cluely, Sophos: „Mac shoot-em-up zaps your files – but is it game over for common sense?“
2010
- März: Pwn2Own-Wettbewerb auf der CanSecWest – Charlie Miller kompromittiert Benutzer-Account über Drive-by-Infektion; Nils kompromittiert Benutzer-Account über Drive-by-Infektion
Aaron Portnoy, Tipping Point DVLabs: „Pwn2Own 2010“
Ryan Naraine: „Pwn2Own Safari Attack: Charlie Miller Hijacks MacBook“ - April: Der Trojaner Pinhead („OSX/Pinhead-B“) bzw. HellRTS gibt sich als iPhoto aus und installiert eine Hintertür.
Graham Cluely, Sophos: „New Mac backdoor Trojan horse discovered“ - Juni: Apple passt den „Virenscanner“ in Mac OS X Snow Leopard an Pinhead bzw. HellRTS an.
Graham Cluely, Sophos: „Apple secretly updates Mac malware protection“ - Juni: Spyware für Mac OS X erscheint auf dem Markt (OpinionSpy)
Paul Ducklin, Sophos: „Mac OS X OpinionSpy – same old, same old“ - November: Java-basierter Trojaner verbreitet sich über Facebook, kann Windows, Linux und Mac OS X infizieren (Boonana)
Carsten Eilers: „Boonana – Ein Trojaner, sie alle zu knechten!“
2011
- Januar: Dino Dai Zovi, Vincenzo Iozzo (Black Hat DC) – „WORKSHOP: The Mac Exploit Kitchen“
- Februar: Gleich zwei Remote Access Toolkits (RAT) werden für Mac OS X entwickelt
Chester Wisniewski, Sophos: „Mac OS X backdoor Trojan, now in beta?“
Chester Wisniewski, Sophos: „DarkComet RAT author denies BlackHole Mac Trojan is his“ - März: Pwn2Own-Wettbewerb auf der CanSecWest – VUPEN-Team kompromittiert Benutzer-Account über Drive-by-Infektion
Peter Bright, Ars Technica: „pwn2own day one: Safari, IE8 fall, Chrome unchallenged“ - März: Vincenzo Iozzo (Black Hat Europe) – „WORKSHOP: The Mac Exploit Kitchen“
- März: Patroklos Argyroudis, Dimitrios Glynos (Black Hat Europe) – „Protecting the Core: Kernel Exploitation Mitigations“
Whitepaper (der angegebene Link ist falsch): PDF
Präsentation (der angegebene Link ist falsch): PDF - Mai: Neue Fake-Virenscanner tauchen auf, darunter ein JavaScript-basierter. Apple verweigert anfangs jede Hilfestellung
Chester Wisniewski, Sophos: „Mac users hit with fake anti-virus when using Google image search“
Graham Cluely, Sophos: „Mac fake anti-virus attack adopts new disguise“
Chester Wisniewski, Sophos: „Mother’s Day search terms lead to Mac rogue security software“
Carsten Eilers: „Kritische Schwachstellen, Schadsoftware – und Apple steckt den Kopf in den Sand“ - Mai: Der erste Fake-Virenscanner, der ohne Administrator-Passwort installiert werden kann, taucht auf
Chester Wisniewski, Sophos: „Apple malware evolved – No password required“ - Mai: Apple passt den „Virenscanner“ in Mac OS X Snow Leopard an die Scareware an, außerdem wird jetzt täglich nach Updates der Virendefinitionen gesucht
Chester Wisniewski, Sophos: „Apple releases update to protect against MacDefender“ - August: Alex Stamos, Aaron Grattafiori, Tom Daniels, Paul Youn, B.J. Orvis (Black Hat USA) – „Macs in the Age of the APT“
- August: Charlie Miller (Black Hat USA) – „Battery Firmware Hacking“
- November: Core Security – „Apple OS X Sandbox Predefined Profiles Bypass“
- September: Mal wieder ein Trojaner, diesmal aus PDF-Datei getarnt (OSX/Revir-B)
Graham Cluely, Sophos: „Mac OS X Trojan hides behind malicious PDF disguise“ - September: Das Flashback-Trojaner wird erstmals entdeckt, er gibt sich als Flash-Update aus und installiert eine Hintertür
Graham Cluely, Sophos: „Flashback Mac Trojan poses as Adobe Flash update, opens backdoor“ - Oktober: Der Trojaner Tsunami installiert eine Hintertür. Das Besondere daran: Er ist eine Portierung eines Linux-Trojaners, wird aber zumindest damals nicht „in the wild“ gefunden
Graham Cluely, Sophos: „Tsunami backdoor for Mac OS X discovered“
Graham Cluely, Sophos: „Mac malware: Tsunami backdoor variants discovered“ - Oktober: Der Trojaner Miner wird mit Kopien des GraphicConverter über Torrent-Sites verbreitet. Seine Schadfunktion: U.a. nutzte er die GPU zum Berechnen von Bitcoins.
Graham Cluely, Sophos: „DevilRobber Mac OS X Trojan horse spies on you, uses GPU for Bitcoin mining“
2012
- März: Pwn2Own-Wettbewerb auf der CanSecWest – Kein Angriffsversuch für Mac OS X, aber Präsentation von Exploits für zwei bereits behobene Schwachstellen
- März: Ein Trojaner tarnt sich als Foto des halbnackten Models Irina Shayk
Graham Cluely, Sophos: „Topless supermodel photos used to spread Mac malware“ - März: Ein Trojaner nutzt eine seit 2009 gepatchte Schwachstelle in Word zu Verbreitung
Graham Cluely, Sophos: „Mac backdoor Trojan embedded inside boobytrapped Word documents“
Jeong Wook (Matt) Oh, Microsoft Malware Protection Center Threat Research & Response Blog: „An interesting case of Mac OSX malware“ - März/April: Zwei von Oracle im Februar gepatchte Schwachstellen werden vom Trojaner Flashback ausgenutzt. Apple veröffentlicht das entsprechende Update erst jetzt – machdem die Angriffe bereits laufen
Graham Cluely, Sophos: „Mac malware exploits unpatched drive-by Java vulnerability“
Chester Wisniewski, Sophos: „Apple patches Java hole that was being used to compromise Mac users“
Carsten Eilers: „Macs im Visier“ - April: Das von Flashback aufgebaute Botnet umfasst mehr als 600.000 Rechner und damit ca. 1% aller Macs
Carsten Eilers: „Das Flashback-Botnet und Apples Langsamkeit“ - April: Flashback kommt nun auch ohne Passworteingabe aus und verbreitet sich als echte Drive-by-Infektion – der Besuch einer präparierte Webseite reicht für die Infektion des Rechners aus
Carsten Eilers: „Macs und Schadsoftware, in allen möglichen Varianten“ - April: Weitere Schädlinge nutzen die Java-Schwachstellen aus
Carsten Eilers: „Neues zu Flashback & Co. und WordPress“ - Graham Cluely, Sophos: „Python-based malware attack targets Macs. Windows PCs also under fire“
- Juni: Apple ändert seine Marketing-Aussagen, Mac OS X wird nicht mehr als sicher vor Viren etc. angepriesen
Graham Cluely, Sophos: „Macs and malware – See how Apple has changed its marketing message“ - Juli: Loukas K (Black Hat USA) – „DE MYSTERIIS DOM JOBSIVS: Mac EFI Rootkits“
- Juli: Ein in Java geschriebener Schädling greift Windows, Linux und Mac OS X an
Graham Cluely, Sophos: „Multi-platform backdoor malware targets Windows, Mac and Linux users“ - Juli: Der in Java geschriebene Schädling Crisis bzw. Morcut greift Windows und Mac OS X an und spioniert die Benutzer u.a über Webcam und Mikrofon aus
Paul Ducklin, Sophos: „Mac malware Crisis on Mountain Lion eve?“
Graham Cluely, Sophos: „Mac malware spies on infected users through video and audio capture“
Sergey Golovanov, Kaspersky: „New malware for Mac: Backdoor.OSX.Morcut“
Lysa Myers, Intego: „More on OSX/Crisis — Advanced Spy Tool“
Lysa Myers, Intego: „OSX/Crisis Has Been Used as Part of a Targeted Attack“
Takashi Katsuki, Symantec: „Crisis for Windows Sneaks onto Virtual Machines“
Takashi Katsuki, Symantec: „Crisis: The Advanced Malware“ (PDF) - August: Jonathan Grynspan – „FileVault 2’s Apple ID Backdoor“
- August: Omar Choudary, Felix Gröbert und Joachim Metz – „Analysis of FileVault 2 (Apple’s full disk encryption)“
- August: NetWire – Ein Fernwartungstool aus der Grauzone
Lysa Myers, Intego: „An Analysis of the Cross-Platform Backdoor NetWeirdRC“
Paul Ducklin, Sophos: „Apple zombie malware ‚NetWeird‘ rummages for browser and email passwords“ - August: 0-Day-Schwachstelle in Java wird zur Verbreitung von Windows- und Mac-Schädlingen genutzt
Manuel Gatbunton, TrendMicro: „Java Runtime Environment 1.7 Zero-Day Exploit Delivers Backdoor“
Lysa Myers, Intego: „OSX/Tsunami Variant Found Dropped by Java 0-Day“ - Oktober: Die Java-basierte Hintertür „Jacksbot“ (auch als Java RAT bzw. jRAT bekannt) läuft unter Windows und zumindest teilweise auch unter Mac OS X und Linux
Lysa Myers, Intego: „New Multiplatform Backdoor Jacksbot Discovered“ - Oktober: Das BSI veröffentlicht Sicherheitshinweise für Mac OS X
Bundesamt für Sicherheit in der Informationstechnik (BSI): „BSI veröffentlicht Empfehlungen zur sicheren PC-Nutzung“
Bundesamt für Sicherheit in der Informationstechnik (BSI): „Sichere Nutzung von Macs unter Apple OS X Mountain Lion – für kleine Unternehmen und Selbstständige v1.0“ - November: Bogdan Calin – „The Email that Hacks You“
- November/Dezember: Tibetanische Websites werden kompromittiert und liefern Spyware für Mac OS X und Windows aus
F-Secure: „New Mac Malware Found on Dalai Lama Related Website“
Graham Cluely, Sophos: „Dockster Mac malware found on Dalai Lama-related website“ - Dezember: SMSMonster bzw. SMSSend.3666 tarnt sich als Installationsprogramm und abonniert teuere SMS-Dienste
Lysa Myers, Intego: „New Mac Trojan Masquerades as Installer for VKMusic App“
Dr. Web: „First fake-installer Trojan for Mac OS“
Roddell Santos, TrendMicro: „Fake Installer for Mac OS Charges Users via Their Mobile Account“
Mac Rumours: „Apple Quickly Updates Malware Definitions to Detect New SMS Scam Trojan“
Entwickler Magazin
Der Artikel „Mac Security – Ein Satz mit X?“ von Carsten Eilers erscheint im Entwickler-Magazin 2.2013. Mehr Infos zum Heft finden Sie auf der Homepage des Entwickler Magazins.