Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Adload-Malware: Apple rüstet XProtect nach

Apple hat kürzlich ein Update seines macOS-Systemschutzes XProtect vorgelegt. Darin finden sich zahlreiche Hashes einer Adware, die weit verbreitet ist.

In Pocket speichern vorlesen Druckansicht 11 Kommentare lesen
Stilisiertes Bild: Suche liefert Spam und Malware

Die Suche liefert Spam, Malware und Betrügereien zurück.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Mac & i
Von

Apple hat in macOS seit macOS 10.7.3 mit XProtect eine Funktion integriert, mit der Dateien auf bekannte Datenschädlinge überprüft werden können. Diese dürfen dann nicht starten, sogar eine automatisierte Löschung ist möglich. Die dazugehörige Datenbank wird regelmäßig aktualisiert. Mit macOS 14.4 hat Apple eine ganze Reihe von Einträgen ergänzt: Die Datenbank mit der Version v2192 kümmert sich insbesondere um eine Adware. Das ist dem macOS-Sicherheitsforscher Phil Stokes aufgefallen.

Familientreffen in XProtect

Insgesamt 74 neue Regeln sind enthalten. Damit soll, so Stokes, die gesamte Codebasis des Datenschädlings Adload disruptiert werden. Die Schädlinge der Familie umgingen zuvor XProtect, indem sie mit einem Apple-Entwicklerzertifikat arbeiteten – peinlicherweise (für Apple) sogar mit Notarisierung. Apple will dies umgehen, indem es zahlreiche Varianten zum Teil der Schädlingsdatenbank macht.

Adload versucht, sich bei Nutzern als legitime Software auszugeben. Einmal installiert, installiert es sich unter anderem als Suchmaschine in Safari und injiziert zudem eigene Reklame in Websites, um so Geld zu verdienen. Denkbar ist dabei auch, dass private Daten abgegriffen werden, berichtet 9to5Mac.

Der Kampf ist noch nicht beendet

Ob es Apple gelingt, Adload restlos zu beseitigen, bleibt aber unklar. Die Entwickler könnten weitere Anpassungen vornehmen und XProtect so womöglich doch umgehen. Zuletzt erschien Version v2193 der Datenbank zusammen mit macOS 14.4.1. Was hier genau neu ist, lässt sich derzeit noch nicht sagen. Mit dem Tool SilentKnight lässt sich überprüfen, ob alle Datenbanken auf dem aktuellen Stand sind.

Apple hatte XProtect mit macOS 14 alias Sonoma angepasst. Seither ist das sogenannte Malware Removal Tool (MRT) nicht mehr Teil des Betriebssystems. Stattdessen wird der XProtectRemediator (XPR) eingesetzt, der mehr Fähigkeiten hat. Weiterhin gibt es mit dem XProtectBehaviorService (XBS) eine Routine, die im Hintergrund das Systemverhalten überwacht. Zur signaturbasierten Erkennung von Schädlingen wird das Open-Source-Werkzeug Yara verwendet. Wie Sie Malware auf dem Mac vorbeugen können und diese schlimmstenfalls entfernen, lesen Sie in einem eigenen Beitrag bei heise+.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(bsc)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Forum bei heise online: Mac OS X

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten