Wie AppleScript für den Angriff auf MacOS genutzt wird

Anwendungen und Skripte für MacOS werden in aller Regel als sicher angesehen, denn die wenigsten Unternehmen verfügen über viele Mac-Rechner und setzen flächendeckend eher auf Windows-Systeme. Dennoch nutzen Cyberkriminelle auch immer wieder Mac-Systeme und Anwendungen, um ihre Malware einzuschleusen oder ihre Aktivitäten zu verstecken. [...]

Matthias Canisius, Regional Director CE & EE bei SentinelOne
Matthias Canisius, Regional Director CE & EE bei SentinelOne (c) SentinelOne

Eine Möglichkeit, um Malware einzuschleusen oder Aktivitäten zu verstecken, bietet AppleScript. Dabei handelt es sich um eine alte MacOS-Technologie, die schon acht oder neun Jahre älter ist als MacOS 10, sie wird auch als „PowerShell des MacOS“ bezeichnet. Überraschenderweise wird sie oft von Angreifern verwendet, obwohl sie kaum auf dem Radar von Sicherheitsverantwortlichen auftaucht.

Die Sicherheitsforscher von SentinelOne untersuchten nicht zuletzt aus diesem Grund eine Reihe von aktuellen Angriffen. Dazu zählt ein kürzlich entdeckter Browser-Hijacker für Safari, der sich in den Browser installiert einen versteckten LaunchAgent, der über ein Shell-Skript AppleScript lädt, kompiliert und ausführt. Andere Angriffe verwenden das Skript, um jede andere Art von Skript auszuführen, einschließlich Python-Skripts. Oder sie nutzen es, um sich und ihre Aktivitäten einfach darin zu verstecken.

Viele Sicherheitsverantwortliche haben AppleScript wenig Aufmerksamkeit zukommen lassen, weil die Entwicklung von Skripten schwierig ist. Der Grund dafür ist die (Apple)Script Editor.app, die nur wenige Funktionen hat, die Entwickler normalerweise erwarten und brauchen. Es gibt keinen Debugger, keine Variablen-Introspektion, keine Code-Schnipsel oder effektive Code-Vervollständigung, um nur einige fehlende Funktionen zu nennen.

Angreifer nutzen AppleScript, weil es für die Automatisierung und die Kommunikation zwischen den Anwendungen entwickelt wurde. Normale Nutzer sollen die Möglichkeit bekommen, um sich wiederholende Aufgaben zu verketten und diese ohne weitere Nutzerinteraktion auszuführen. Sie können beispielsweise Mail.app automatisch ein Skript auslösen lassen, wenn es eine E-Mail von einem bestimmten Absender oder mit einem bestimmten Schlüsselwort in der Betreffzeile oder im Inhalt erhält, beliebige Details aus der E-Mail extrahieren und dann eine Datenbank in Excel oder Numbers mit den gewünschten Informationen füllen, die on-the-fly formatiert und sortiert werden, sobald die Daten eingehen. Und wie sich herausstellt, ist die Automatisierung der Kommunikation zwischen den Anwendungen und die Umgehung der Benutzerinteraktion ein gefundenes Fressen für die MalwareEntwickler

Angreifer haben trotz der schwierigen und aufwändigen Handhabung AppleScript immer wieder genutzt und sie werden es auch zukünftig nutzen. Dank der systemeigenen Anbindung an Objective C und die leistungsfähigen Cocoa-Frameworks, der Vielfalt der Ausführungsmethoden und der Verfügbarkeit einer hervorragenden, frei nutzbaren IDE ist AppleScript zu einem leistungsfähigen, vielseitigen und einfach zu entwickelnden Werkzeug geworden. Cyberkriminelle werden immer versuchen, die Dinge auszunutzen, die die Verteidiger ignorieren. Das Skript wurde bisher von der Security Community ignoriert und es ist an der Zeit, es sich genauer anzuschauen.

*Matthias Canisius ist Regional Director CE & EE bei SentinelOne.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*