Gefälschtes Installationsprogramm

Kaspersky entdeckt MacOS-Variante von Backdoor "HZ Rat"

Uhr
von Gayathri Albert und jor

Kaspersky-Forscher haben eine MacOS-Variante der "HZ Rat"-Backdoor entdeckt, die auf User von Wechat und Dingtalk abzielt. Die Malware ermöglicht laterale Netzwerkbewegungen und Datendiebstahl.

(Source: storyset/Freepik.com)
(Source: storyset/Freepik.com)

Forscher von Kaspersky haben eine MacOS-Variante der Backdoor "HZ Rat" ausfindig gemacht, die auf Nutzende der chinesischen Messaging-Plattformen Wechat und Dingtalk abzielt. Die zunächst auf Windows-Systemen entdeckte Malware bedroht nun auch MacOS und sammelt Informationen wie Benutzernamen, E-Mail-Adressen und Telefonnummern. 

Die Backdoor verbreitet sich über ein gefälschtes "OpenVPN connect"-Installationsprogramm. Dieses verfügt über einen legitimen VPN-Client mit zwei bösartigen Dateien – die Backdoor und ein Skript, das die Backdoor mit dem VPN-Client startet. Die Backdoor verbindet sich mit dem Server des Angreifers über eine vorgegebene Liste von IP-Adressen, wie es in einer Mitteilung heisst. Dabei wird die gesamte Kommunikation verschlüsselt, um die Entdeckung zu vermeiden. 

"Während die Malware derzeit nur Daten sammelt, verwenden einige Versionen lokale IP-Adressen, um mit dem Server der Angreifer zu kommunizieren, was auf die Möglichkeit einer für laterale Bewegungen innerhalb des Netzwerks des Opfers. Dies deutet auch darauf hin, dass die Angreifer möglicherweise gezielte Angriffe planen", erklärt Sergey Puzan, Malware-Analyst bei Kaspersky.

Die Windows-Version der Malware wurde erstmals im November 2022 entdeckt. Die Entdeckung der MacOS-Version deutet darauf hin, dass die Gruppe noch aktiv ist. Das Ziel sei noch unklar, doch die Gruppe scheint die gesammelten Daten für zukünftige Angriffe verwenden zu wollen. 

 

Im jüngsten Wochenrückblick vom BACS warnt die Behörde vor Anfragen von gehackten Whatsapp-Konten. Neu schreiben einige Betrüger potenzielle Opfer auch auf Schweizerdeutsch an und fragen nach Überweisungen per Twint. Mehr dazu lesen Sie hier.

Webcode
dYhHunLd

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter