Bild vergrößern 600 538 http://img3.magnus.de/Mac-Scareware-die-Spur-f-hrt-nach-Russland-r600x538-C-f6f141c7-46702398.jpg © Microsoft

© Microsoft

Mac-Scareware - die Spur führt nach Russland

Die Zeiten, in denen sich Mac-Benutzer vor Malware recht sicher fühlen durften, sind wohl endgültig vorbei. Online-Kriminelle zielen mit ihren Scareware-Attacken nun auch auf Mac OS X, das dem bislang wenig entgegen zu setzen hat. Während Apple ein Sicherheits-Update ankündigt, verfolgen andere die Spur der Scareware zum größten russischen Online-Bezahldienst.

Scareware ist auf dem Mac angekommen. Online-Kriminelle präparieren Web-Seiten, die potenzielle Opfer über Suchmaschinentreffer, besonders Googles Bildersuche, auf weitere Seiten mit betrügerischen Antivirusprogrammen locken sollen. Die Vorgehensweise ist weitgehend identisch mit den Methoden, die seit geraumer Zeit gegen Windows-Nutzer eingesetzt werden.

Die vorgeblichen Schutzprogramme tragen Namen wie MacDefender, MacProtector oder MacSecurity. Apple schien zunächst den Kopf in den Sand gesteckt zu haben und soll seine Support-Leute angewiesen haben keine Hilfe bei Scareware-Infektionen zu leisten. In der letzten Woche hat Apple dann eine Sicherheitsempfehlung veröffentlicht, die Tipps enthält, wie eine Scareware-Infektion zu vermeiden sei.

Der zentrale Hinweis in dieser Sicherheitsempfehlung ist, dass die Scareware-Programme bei der Installation die Eingabe des Administrator-Passworts verlangen. Doch kaum war dieser Tipp veröffentlicht, zogen die Scareware-Programmierer ihre neueste Kreation, "Mac Guard", aus dem Ärmel. Sie haben den Trick, wie sie unter Windows 7 und Vista die UAC-Warnungen umgehen, auf Mac OS X portiert. Mac Guard verlangt kein Passwort mehr.

Microsoft hat die Windows-Scareware "Win32/Winwebsec" mit "MacOS_X/FakeMacdef" verglichen und viele Übereinstimmungen gefunden. Verschiedene Hinweise im Code deuten darauf hin, dass beide den gleichen Ursprung haben und dass dieser in Russland zu suchen ist. Darüber berichten Hamish O'Dea und Tareq Saade im Blog des Microsoft Malware Protection Center.

Der Sicherheitsforscher Brian Krebs hat die Spur weiter verfolgt und beschuldigt ChronoPay, Russlands größten Online-Bezahldienst, hinter den Scareware-Attacken auf Windows- wie Mac-Nutzer zu stecken. Laut Krebs gehört ChronoPay zu den Pionieren des Scareware-Geschäfts. Als ein Indiz nennt Krebs die Mail-Adresse, die bei den Domain-Registrierungen verschiedener Scareware-Websites angegeben ist.

Sie gehört zu einer auf ChronoPay registrierten Domain, für die das Unternehmen die Hosting-Gebühren zahlt. Diese Server stehen bei einem bekannten Provider in Deutschland. Krebs bezieht sich auf einige interne ChronoPay-Dokumente, die im letzten Jahr durch ein Datenleck an die Öffentlichkeit gelangt sind.

Mac-Benutzern gibt Brian Krebs den gleichen Rat wie der Windows-Fraktion: "Wenn Du nicht danach gesucht hast, installiere es nicht."