Den Auftakt macht eine Timeline der Angriffe auf Mac OS X. Von 2004 bis heute sind dort die wichtigsten Schädlinge aufgeführt – von Würmern und Spyware über Trojaner und Exploits bis hin zu Viren oder Scareware. Ergänzt werden die Einträge mit Links zu Beiträgen über die jeweiligen Sicherheitsrisiken.

Timeline Mac OS X Angriffe

2004

• April: Proof-of-Concept für Trojaner unter Mac OS X („Mac/Amphimix-A“), keine Verbreitung „in the wild“
  Sophos: „Mac OS X MP3 Trojan horse threat overhyped, says Sophos“
• Oktober: Erster Wurm für Mac OS X („SH/Renepo-A“), keine Verbreitung „in the wild“
  Sophos: „Renepo worm targets Mac OS X users, Sophos reports“

2006

• Februar: Instant-Messaging-Wurm für Mac OS X („OSX/Leap-A“), sehr geringe Verbreitung
• Februar: Wurm verbreitet sich über Bluetooth („OSX/Inqtana-A“), sehr geringe Verbreitung, keine Schadfunktion
• November: Erster Virus für Mac OS X (Macarena), fehlerhafter Proof-of-Concept ohne Verbreitung „in the wild“
  Sophos: „Macarena Mac OS X malware – no need to panic“

2007

• Januar: „Month of Apple Bugs“ – Veröffentlichung von 31 Schwachstellen in Mac OS X und Anwendungen, darunter einige kritische
  the Month of Apple Bugs
  Apple Fun – Announcements and discussion about the Month of Apple Bugs
• März: Pwn2Own-Wettbewerb auf der CanSecWest – Dino Dai Zovi kompromittiert Benutzer-Account über Drive-by-Infektion
  Robert Lemos, SecurityFocus: „A Mac gets whacked, a second survives“
  Ryan Naraine: „10 questions for MacBook hacker Dino Dai Zovi“
• Mai: Erster Plattformübergreifender Makro-Wurm für OpenOffice infiziert Windows, Linux und Mac OS X („SB/BadBunny-A“), keine Verbreitung „in the wild“, da von den Entwicklern direkt an Sophos geschickt
  „BadBunny seen in „the wild“? OpenOffice multi-platform macro worm discovered“
• Juni: Charlie Miller (Black Hat USA) – „Hacking Leopard: Tools and Techniques for Attacking the Newest Mac OS X“
  Präsentation (PDF)
  Whitepaper (PDF)
• November: Erster „DNS-Changer“-Trojaner für Mac OS X (RSPlug), wird als angeblicher Video-Codec verbreitet, findet einige Opfer
  Graham Cluley, Sophos: „Mac OS X RSPlug Trojan horse: in pictures“

2008

• Februar: Erste Scareware in Form von Fake-Virenscannern (MacSweeper, Imunizator), eigentlich nur Flash-Anwendungen im Browser
  Sophos: „Poisoned TV website adverts lead to PC and Mac scareware“
  SophosLabs: „Poisoned Adverts hit TV sites“
• März: Pwn2Own-Wettbewerb auf der CanSecWest – Charlie Miller, Jake Honoroff und Mark Daniel kompromittieren Benutzeraccount über Drive-by-Infektion
  Zero Day Initivative, Tipping Point DVLabs: „PWN to OWN Day Two: First Winner Emerges! (updated)“
• August: Als angeblicher Vide-Codec verbreiteter Trojaner installiert Hintertür („Troj/RKOSX-A“)
  Graham Cluely, Sophos: „A new Trojan horse for Mac OS X?“
  Graham Cluely, Sophos: „Mac malware – mea culpa“
• November: Erster Trojaner wird als angeblicher Key-Generator über Raubkopien verbreitet („OSX/Jahlav-A“), keine nennenswerte Verbreitung
  Graham Cluely, Sophos: „More Mac OS X malware discovered“

2009

• Januar: Erster Trojaner gibt sich als Raubkopie von iWork ’09 („OSX/iWorkS-A“)
  Graham Cluely, Sophos: „Reports of new Mac Trojan horse in pirated version of iWork ’09“
• Januar: Ein Trojaner gibt sich als Crack-Programm für eine Raubkopie von Photoshop aus
  Graham Cluely, Sophos: „Reports of Mac Trojan in pirated Adobe Photoshop CS4“
• Februar: Vincenzo Iozzo (Black Hat DC) – „Let Your Mach-O Fly“ (Medien)
• März: Dino Dai Zovi, Charlie Miller (CanSecWest) – „Hacking Macs for Fun and Profit“ (PDF)
• März: Pwn2Own-Wettbewerb auf der CanSecWest – Charlie Miller kompromittiert Benutzer-Account über Drive-by-Infektion; Nils kompromittiert Benutzer-Account über Drive-by-Infektion
  Terri Forslof, Tipping Point DVLabs: „Pwn2Own 2009 Day 1 – Safari, Internet Explorer, and Firefox Taken Down by Four Zero-Day Exploits“
  Robert Lemos, SecurityFocus: „Browsers bashed first in hacking contest“
• März: Neue Version des Trojaners RSPlug tarnt sich als angebliches HDTV/DTV-Programm mit den Namen „MacCinema“
  Graham Cluely, Sophos: „Apple Mac malware: caught on camera“
• April: Charlie Miller, Vincenzo Iozzo (Black Hat Europe) – „Fun and Games with Mac OS X and iPhone Payloads“
  Medien
  Präsentation (der angegebene Link ist falsch): PDF
• Mai: Erster Mail-Warum für Mac OS X (Tored) ist schlampig programmiert und erreicht keine große Verbreitung
  Graham Cluely, Sophos: „Tored – a lame email worm for Mac OS X“
• Juli: Dino Dai Zovi (Black Hat USA) – „Advanced Mac OS X Rootkits“ (Medien)
• August: Erste Mac-OS-X-Version mit rudimentärer Schadsoftware-Erkennung: Mac OS X Snow Leopard erkennt zwei Trojaner-Familien, wenn sie von Safari oder Mail geladen werden
  Graham Cluely, Sophos: „Snow Leopard malware protection in action“
  Chester Wisniewski, Sophos: „Is Snow Leopard’s bundled anti-malware enough?“
• November: Das Spiel „Lose/Lose“ löscht (als dokumentiertes Verhalten!) während des Spiel zufällig ausgewählte Dateien
  Graham Cluely, Sophos: „Mac shoot-em-up zaps your files – but is it game over for common sense?“

2010

• März: Pwn2Own-Wettbewerb auf der CanSecWest – Charlie Miller kompromittiert Benutzer-Account über Drive-by-Infektion; Nils kompromittiert Benutzer-Account über Drive-by-Infektion
  Aaron Portnoy, Tipping Point DVLabs: „Pwn2Own 2010“
  Ryan Naraine: „Pwn2Own Safari Attack: Charlie Miller Hijacks MacBook“
• April: Der Trojaner Pinhead („OSX/Pinhead-B“) bzw. HellRTS gibt sich als iPhoto aus und installiert eine Hintertür.
  Graham Cluely, Sophos: „New Mac backdoor Trojan horse discovered“
• Juni: Apple passt den „Virenscanner“ in Mac OS X Snow Leopard an Pinhead bzw. HellRTS an.
  Graham Cluely, Sophos: „Apple secretly updates Mac malware protection“
• Juni: Spyware für Mac OS X erscheint auf dem Markt (OpinionSpy)
  Paul Ducklin, Sophos: „Mac OS X OpinionSpy – same old, same old“
• November: Java-basierter Trojaner verbreitet sich über Facebook, kann Windows, Linux und Mac OS X infizieren (Boonana)
  Carsten Eilers: „Boonana – Ein Trojaner, sie alle zu knechten!“

2011

• Januar: Dino Dai Zovi, Vincenzo Iozzo (Black Hat DC) – „WORKSHOP: The Mac Exploit Kitchen“
• Februar: Gleich zwei Remote Access Toolkits (RAT) werden für Mac OS X entwickelt
  Chester Wisniewski, Sophos: „Mac OS X backdoor Trojan, now in beta?“
  Chester Wisniewski, Sophos: „DarkComet RAT author denies BlackHole Mac Trojan is his“
• März: Pwn2Own-Wettbewerb auf der CanSecWest – VUPEN-Team kompromittiert Benutzer-Account über Drive-by-Infektion
  Peter Bright, Ars Technica: „pwn2own day one: Safari, IE8 fall, Chrome unchallenged“
• März: Vincenzo Iozzo (Black Hat Europe) – „WORKSHOP: The Mac Exploit Kitchen“
• März: Patroklos Argyroudis, Dimitrios Glynos (Black Hat Europe) – „Protecting the Core: Kernel Exploitation Mitigations“
  Whitepaper (der angegebene Link ist falsch): PDF
  Präsentation (der angegebene Link ist falsch): PDF
• Mai: Neue Fake-Virenscanner tauchen auf, darunter ein JavaScript-basierter. Apple verweigert anfangs jede Hilfestellung
  Chester Wisniewski, Sophos: „Mac users hit with fake anti-virus when using Google image search“
  Graham Cluely, Sophos: „Mac fake anti-virus attack adopts new disguise“
  Chester Wisniewski, Sophos: „Mother’s Day search terms lead to Mac rogue security software“
  Carsten Eilers: „Kritische Schwachstellen, Schadsoftware – und Apple steckt den Kopf in den Sand“
• Mai: Der erste Fake-Virenscanner, der ohne Administrator-Passwort installiert werden kann, taucht auf
  Chester Wisniewski, Sophos: „Apple malware evolved – No password required“
• Mai: Apple passt den „Virenscanner“ in Mac OS X Snow Leopard an die Scareware an, außerdem wird jetzt täglich nach Updates der Virendefinitionen gesucht
  Chester Wisniewski, Sophos: „Apple releases update to protect against MacDefender“
• August: Alex Stamos, Aaron Grattafiori, Tom Daniels, Paul Youn, B.J. Orvis (Black Hat USA) – „Macs in the Age of the APT“
• August: Charlie Miller (Black Hat USA) – „Battery Firmware Hacking“
• November: Core Security – „Apple OS X Sandbox Predefined Profiles Bypass“
• September: Mal wieder ein Trojaner, diesmal aus PDF-Datei getarnt (OSX/Revir-B)
  Graham Cluely, Sophos: „Mac OS X Trojan hides behind malicious PDF disguise“
• September: Das Flashback-Trojaner wird erstmals entdeckt, er gibt sich als Flash-Update aus und installiert eine Hintertür
  Graham Cluely, Sophos: „Flashback Mac Trojan poses as Adobe Flash update, opens backdoor“
• Oktober: Der Trojaner Tsunami installiert eine Hintertür. Das Besondere daran: Er ist eine Portierung eines Linux-Trojaners, wird aber zumindest damals nicht „in the wild“ gefunden
  Graham Cluely, Sophos: „Tsunami backdoor for Mac OS X discovered“
  Graham Cluely, Sophos: „Mac malware: Tsunami backdoor variants discovered“
• Oktober: Der Trojaner Miner wird mit Kopien des GraphicConverter über Torrent-Sites verbreitet. Seine Schadfunktion: U.a. nutzte er die GPU zum Berechnen von Bitcoins.
  Graham Cluely, Sophos: „DevilRobber Mac OS X Trojan horse spies on you, uses GPU for Bitcoin mining“

2012

• März: Pwn2Own-Wettbewerb auf der CanSecWest – Kein Angriffsversuch für Mac OS X, aber Präsentation von Exploits für zwei bereits behobene Schwachstellen
• März: Ein Trojaner tarnt sich als Foto des halbnackten Models Irina Shayk
  Graham Cluely, Sophos: „Topless supermodel photos used to spread Mac malware“
• März: Ein Trojaner nutzt eine seit 2009 gepatchte Schwachstelle in Word zu Verbreitung
  Graham Cluely, Sophos: „Mac backdoor Trojan embedded inside boobytrapped Word documents“
  Jeong Wook (Matt) Oh, Microsoft Malware Protection Center Threat Research & Response Blog: „An interesting case of Mac OSX malware“
• März/April: Zwei von Oracle im Februar gepatchte Schwachstellen werden vom Trojaner Flashback ausgenutzt. Apple veröffentlicht das entsprechende Update erst jetzt – machdem die Angriffe bereits laufen
  Graham Cluely, Sophos: „Mac malware exploits unpatched drive-by Java vulnerability“
  Chester Wisniewski, Sophos: „Apple patches Java hole that was being used to compromise Mac users“
  Carsten Eilers: „Macs im Visier“
• April: Das von Flashback aufgebaute Botnet umfasst mehr als 600.000 Rechner und damit ca. 1% aller Macs
  Carsten Eilers: „Das Flashback-Botnet und Apples Langsamkeit“
• April: Flashback kommt nun auch ohne Passworteingabe aus und verbreitet sich als echte Drive-by-Infektion – der Besuch einer präparierte Webseite reicht für die Infektion des Rechners aus
  Carsten Eilers: „Macs und Schadsoftware, in allen möglichen Varianten“
• April: Weitere Schädlinge nutzen die Java-Schwachstellen aus
  Carsten Eilers: „Neues zu Flashback & Co. und WordPress“
• Graham Cluely, Sophos: „Python-based malware attack targets Macs. Windows PCs also under fire“
• Juni: Apple ändert seine Marketing-Aussagen, Mac OS X wird nicht mehr als sicher vor Viren etc. angepriesen
  Graham Cluely, Sophos: „Macs and malware – See how Apple has changed its marketing message“
• Juli: Loukas K (Black Hat USA) – „DE MYSTERIIS DOM JOBSIVS: Mac EFI Rootkits“
• Juli: Ein in Java geschriebener Schädling greift Windows, Linux und Mac OS X an
  Graham Cluely, Sophos: „Multi-platform backdoor malware targets Windows, Mac and Linux users“
• Juli: Der in Java geschriebene Schädling Crisis bzw. Morcut greift Windows und Mac OS X an und spioniert die Benutzer u.a über Webcam und Mikrofon aus
  Paul Ducklin, Sophos: „Mac malware Crisis on Mountain Lion eve?“
  Graham Cluely, Sophos: „Mac malware spies on infected users through video and audio capture“
  Sergey Golovanov, Kaspersky: „New malware for Mac: Backdoor.OSX.Morcut“
  Lysa Myers, Intego: „More on OSX/Crisis — Advanced Spy Tool“
  Lysa Myers, Intego: „OSX/Crisis Has Been Used as Part of a Targeted Attack“
  Takashi Katsuki, Symantec: „Crisis for Windows Sneaks onto Virtual Machines“
  Takashi Katsuki, Symantec: „Crisis: The Advanced Malware“ (PDF)
• August: Jonathan Grynspan – „FileVault 2’s Apple ID Backdoor“
• August: Omar Choudary, Felix Gröbert und Joachim Metz – „Analysis of FileVault 2 (Apple’s full disk encryption)“
• August: NetWire – Ein Fernwartungstool aus der Grauzone
  Lysa Myers, Intego: „An Analysis of the Cross-Platform Backdoor NetWeirdRC“
  Paul Ducklin, Sophos: „Apple zombie malware ‚NetWeird‘ rummages for browser and email passwords“
• August: 0-Day-Schwachstelle in Java wird zur Verbreitung von Windows- und Mac-Schädlingen genutzt
  Manuel Gatbunton, TrendMicro: „Java Runtime Environment 1.7 Zero-Day Exploit Delivers Backdoor“
  Lysa Myers, Intego: „OSX/Tsunami Variant Found Dropped by Java 0-Day“
• Oktober: Die Java-basierte Hintertür „Jacksbot“ (auch als Java RAT bzw. jRAT bekannt) läuft unter Windows und zumindest teilweise auch unter Mac OS X und Linux
  Lysa Myers, Intego: „New Multiplatform Backdoor Jacksbot Discovered“
• Oktober: Das BSI veröffentlicht Sicherheitshinweise für Mac OS X
  Bundesamt für Sicherheit in der Informationstechnik (BSI): „BSI veröffentlicht Empfehlungen zur sicheren PC-Nutzung“
  Bundesamt für Sicherheit in der Informationstechnik (BSI): „Sichere Nutzung von Macs unter Apple OS X Mountain Lion – für kleine Unternehmen und Selbstständige v1.0“
• November: Bogdan Calin – „The Email that Hacks You“
• November/Dezember: Tibetanische Websites werden kompromittiert und liefern Spyware für Mac OS X und Windows aus
  F-Secure: „New Mac Malware Found on Dalai Lama Related Website“
  Graham Cluely, Sophos: „Dockster Mac malware found on Dalai Lama-related website“
• Dezember: SMSMonster bzw. SMSSend.3666 tarnt sich als Installationsprogramm und abonniert teuere SMS-Dienste
  Lysa Myers, Intego: „New Mac Trojan Masquerades as Installer for VKMusic App“
  Dr. Web: „First fake-installer Trojan for Mac OS“
  Roddell Santos, TrendMicro: „Fake Installer for Mac OS Charges Users via Their Mobile Account“
  Mac Rumours: „Apple Quickly Updates Malware Definitions to Detect New SMS Scam Trojan“

Entwickler Magazin

Der Artikel „Mac Security – Ein Satz mit X?“ von Carsten Eilers erscheint im Entwickler-Magazin 2.2013. Mehr Infos zum Heft finden Sie auf der Homepage des Entwickler Magazins.