Im vergangenen September teilte Mosyle, ein führendes Unternehmen im Bereich Apple-Geräteverwaltung und -sicherheit, exklusive Details über ModStealer mit 9to5Mac und kehrte nun mit zwei neuen, völlig unter dem Radar fliegenden macOS-Bedrohungen zurück.
Den neuen Details zufolge, die ebenfalls mit 9to5Mac geteilt wurden, identifizierte das Mosyle-Sicherheitsteam zwei zuvor unentdeckte Exemplare: Phoenix Worm, ein plattformübergreifender Stager, und ShadeStager, ein modulares macOS-Implantat, das für Identitätsdiebstahl konzipiert ist. Obwohl diese beiden in ihrer Funktionsweise nicht direkt miteinander verbunden sind, zeigen sie, wie raffiniert Mac-Malware geworden ist.
Das Timing hier deckt sich mit dem, was der Rest der Branche sieht. Wie ich bereits berichtete, waren Infostealer und Trojaner wie Atomic Stealer im letzten Jahr die dominierende Malware-Geschichte auf Macs; Angreifer bewegen sich von lauten Angriffen hin zu Persistenz. Phoenix Worm und ShadeStager tun genau das.
Phoenix Worm, ein geheimer Stager
Der irreführend benannte Phoenix Worm ist hier tatsächlich ein Stager. Diese auf Golang basierende plattformübergreifende Malware wurde entwickelt, um als Stager zu fungieren. Stager können im Grunde als leichte Startlasten definiert werden, die dazu dienen, Persistenz zu gewährleisten und sich auf eine zweite Angriffsphase vorzubereiten. Anstatt die vollständige Last sofort zu hinterlassen, schafft es zunächst heimlich einen Fuß in die Tür. Das hat viele Vorteile.
Laut Mosyle umfasst die grundlegende Funktionalität von Phoenix Worm:
- Kommunikation mit einem entfernten Command-and-Control (C2)-Server
- Erstellung einzigartiger Identifikatoren für infizierte Systeme
- Übermittlung von Systemdaten an Angreifer
- Unterstützung für Remote-Updates und Payload-Ausführung
Der Phoenix Worm scheint laut Mosyle nicht wie eine eigenständige Bedrohung zu sein. Sein Design deutet stark darauf hin, dass es ein Teil eines größeren Werkzeugsatzes ist, der darauf abzielt, fortschrittliche Payloads in die Angriffskette weiterzugeben.
Zum Zeitpunkt der Analyse wurde festgestellt, dass keine Antiviren-Engines macOS- oder Linux-Varianten erkannt hatten, sondern nur eine begrenzte Erkennung unter Windows vorlag.
ShadeStager, gebaut für Identitätsdiebstahl
ShadeStager ist ein Post-Exploitation-Tool, das darauf ausgelegt ist, hochgradig wertvolle Daten aus bereits kompromittierten Systemen zu extrahieren. Obwohl dies wie eine perfekte Übereinstimmung mit Phoenix Worm aussieht, stellt Mosyle fest, dass diese beiden nicht miteinander verbunden sind.
Tatsächlich scheint ShadeStager sich auf Entwicklerumgebungen und Cloud-Infrastrukturen zu konzentrieren. Insbesondere zielt es auf Folgendes ab:
- SSH-Schlüssel und bekannte Hosts
- Cloud-Anmeldeinformationen von AWS, Azure und GCP
- Kubernetes-Konfigurationsdateien
- Git- und Docker-Authentifizierungsdaten
- Vollständige Browserprofile in großen Browsern
Darüber hinaus führt ShadeStager laut Mosyle eine umfassende Erkundung von Benutzer- und Berechtigungsinformationen, Betriebssystem- und Hardwaredetails, Netzwerk-Konfigurationen und Umgebungsvariablen, die an Cloud- und SSH-Sitzungen gebunden sind, auf dem Host durch. Alles wird über HTTPS konfiguriert und exportiert; es kommt mit Unterstützung für die Ausführung von Befehlen, den Export von Daten und das Herunterladen von Dateien.
Interessanterweise enthält ShadeStager keine fest codierte C2-Adresse, und einige Teile des Codes der Malware konnten von Mosyle-Forschern ohne zusätzliche Reverse-Engineering-Arbeiten gesehen werden. Dies deutet stark darauf hin, dass das Malware-Beispiel zum Zeitpunkt der Entdeckung noch in der Entwicklung war.
Zusammenfassung
Phoenix Worm und ShadeStager sind nicht miteinander verbunden, basieren jedoch auf demselben Angriffsmodell. Während der eine Zugang gewährt, extrahiert der andere Anmeldeinformationen und Cloud-Token, und zum Zeitpunkt der Entdeckung wurden sie von keiner Antiviren-Engine erkannt.
Im Jahr 2026 entwickelt sich die Mac-Malware in diese Richtung. Angreifer programmieren in Go und Rust für plattformübergreifende Kompatibilität, senden modulare Payloads, die den anfänglichen Zugriff von der Post-Exploitation trennen, und konfigurieren die C2-Infrastruktur dynamisch, sodass nichts Statisches mit einer Signatur übereinstimmt. Das am einfachsten zu nennende Beispiel ist zweifellos die Atomic Stealer, die zur beliebtesten und besorgniserregendsten Malware-Familie geworden ist. Diese und ihre Varianten arbeiten seit einiger Zeit auf diese Weise, und es ist zu sehen, dass dieser Ansatz auch in irrelevanten Beispielen auftritt.
Signaturbasierte Antivirenlösungen sind nicht mehr ausreichend. Verhaltensbasierte Erkennung und Echtzeit-Transparenz sollten für Administratoren und Sicherheitsteams, die heute macOS-Umgebungen verteidigen, eine grundlegende Anforderung sein.
Bedrohungssymptome
Mac-Administratoren, die diese Bedrohungen zu ihren Sicherheitswerkzeugen hinzufügen möchten, hat Mosyle die folgenden SHA256-Hashes bereitgestellt:
- ShadeStager: 7e8003bee92832b695feb7ae86967e13a859bdac4638fa76586b9202df3d0156
- Phoenix Worm: 54ef0c8d7e167053b711853057e3680d94a2130e922cf3c717adf7974888cad2
Folgen Sie Arin Waichulis: LinkedIn, Threads, X
Abonnieren Sie den 9to5Mac Security Bite Podcast für tiefgehende Analysen und Interviews mit Apple-Sicherheitsforschern und -experten:
- Apple Podcasts
- Spotify
- Pocket Casts
- RSS-Feed
![Die besten (und schlechtesten) Apple-Produkte in der Ära von Tim Cook [Video]](/resimler/tim-cook-donemindeki-en-iyi-ve-en-kotu-apple-urunleri-video.jpg)
Kommentare
(7 Kommentare)