Neue Masche: AMOS-Malware wird über Fake-Browserupdates verteilt

Der „Atomic macOS Stealer“, kurz AMOS genannt, ist eine Malware, die für den Apple Mac und dessen Betriebssystem macOS konzipiert ist. Die Schadsoftware soll unter anderem dazu dienen, die Passwörter des iCloud-Schlüsselbundes sowie Browserdaten, Dateien und Kryptowährungen zu stehlen. Nun gibt es Berichte zu einer neuen Masche, über die der Atomic macOS Stealer auf Apple-Computer gebracht werden soll: Infizierte Webseiten zeigen einen Update-Hinweis an, der sagt, dass man die Seite nur mit der aktuellsten Version des Browsers (Safari, Chrome, etc.) anzeigen kann. Der angebotene Download-Button führt dann zur AMOS-Infizierung. Hier erfahrt ihr, wie ihr eure Browser manuell und sicher updatet. 

ClearFake-Kampagne hat es auf macOS- und Windows-Computer abgesehen

Die „ClearFake“ genannte Kampagne zur Streuung von Schadsoftware über das Web ist manchen vielleicht von Windows-Malware bekannt. Mit der neuen Masche, um die AMOS-Software auf Macs zu schleusen, greift sie nun auf macOS über. Darüber berichtet u. a. Malwarebytes in einem Blogbeitrag. Darin wird die ClearFake-Kampagne aufgrund ihres technischen Aufwands als „die am weitesten verbreitete und gefährlichste Social-Engineering-Methode“ der Malware-Branche bezeichnet. Zur Anzeige der richtigen Fake-Webseite werden Standort, Browser und Betriebssystem abgefragt. Malwarebytes liefert für Safari und Chrome die folgenden Beispiele für die Fake-Update-Hinweise.

Der Fake für das angebliche Safari-Update lässt sich bereits an den veralteten Symbolen für iCloud und den Browser selbst erkennen:

Der Fake für das angebliche Chrome-Update ist schon etwas besser gemacht und nicht so leicht zu erkennen:

Was passiert, wenn man das angebliche „Update“ herunterlädt?

Über die jeweiligen Buttons wird laut Malwarebytes eine dmg-Datei heruntergeladen, welche dann geöffnet und ihr Inhalt installiert werden soll. Bei wem also noch keine Alarmglocken angegangen sind, sollten sie spätestens jetzt schellen. Denn um ein Browser-Update zu installieren, muss man das Programm in den meisten Fällen nicht neu installieren (Chrome als Ausnahme findet ihr weiter unten). Eine dmg-Datei, wie etwa bei der ersten Installation eines komplett neuen Programms, ist oftmals nicht nötig. Der AMOS-Installer fragt zudem nach dem Passwort – einmal eingegeben sorgt es natürlich dafür, dass man der Schadsoftware mit Admin-Rechten freie Hand lässt.

Was tun, wenn der Webbrowser einen Update-Hinweis anzeigt?

Wird euch beim Surfen im Web plötzlich ein Update-Hinweis angezeigt, dann solltet ihr ihn erst einmal ignorieren und schauen, was ihr da eigentlich für eine Seite aufgerufen habt. Nicht immer muss es eine dubiose Glücksspiel- oder Erwachsenenseite sein. Vielleicht seid ihr auch durch eine infizierte Google-Werbeanzeige (eine weitere AMOS-Masche) auf die Seite gelangt oder habt eine URL falsch eingegeben. Wenn ihr nun deshalb so einen Hinweis bekommt, schaut lieber in den Browser-Einstellungen, ob ein Update bereit steht, anstatt das angebliche Update über den Button der Fake-Webseite zu laden.

Wie finde ich ein offizielles Safari-Update?

Die aktuellste Version von Safari ist im Grunde schon in macOS erhalten. Ist das Betriebssystem auf dem aktuellsten Stand, dann ist auch Safari in der neuesten Version vorhanden. Gibt es allerdings ein Update außer der Reihe, dann findet ihr es hier: Apple-Logo () -> Systemeinstellungen -> Allgemein -> Softwareupdate. Zudem könnt ihr im App Store in der linken Seitenleiste unter Updates schauen, ob es dort ein Safari-Update gibt. Wird es an beiden Orten nicht angezeigt, dann braucht ihr auch kein Update.

Wie finde ich ein offizielles Chrome-Update?

Der Chrome-Browser zeigt unter macOS selber an, wenn er aktualisiert werden muss. Das Drei-Punkte-Menü (ganz rechts neben der Adressleiste) ist dann rot unterlegt und „Aktualisieren“ steht daneben. Klickt ihr da drauf, dann kann der erste Punkt des so aufgerufenen Menüs Google Chrome ist veraltet lauten. Hier gibt es nun zwei Möglichkeiten: entweder es wird beim Draufklicken ein Update geladen und installiert oder man kommt zur offiziellen Download-Seite von Chrome (https://www.google.com/chrome/). Der dort angebotene Download kann ohne Bedenken genutzt werden.

Wie finde ich ein offizielles Firefox-Update?

Wenn ihr am Apple Mac den Firefox-Browser nutzt, dann könnt ihr ein mögliches Update über das Menü Firefox -> Über Firefox prüfen. In dem sich öffnenden Info-Fenster wird auch der Download und die Installation des Updates realisiert. Danach muss man den Browser neustarten. Schaut ihr anschließend nochmal in das Info-Fenster, sollte angezeigt werden, dass Firefox in der aktuellsten Version vorliegt.

Wie finde ich ein offizielles Opera GX Update?

In Opera GX klickt ihr euch in das Menü Opera GX -> Update und Wiederherstellung. Auch dort sollte eine automatische Überprüfung von möglichen Updates laufen. Ist das Update heruntergeladen und installiert, muss auch dieser Browser neugestartet werden. Anschließend steht in dem Menü „Opera ist auf dem neuesten Stand“.

Wie finde ich ein offizielles DuckDuckGo Update?

Nutzt ihr den DuckDuckGo-Browser am Apple Mac, dann klickt ihr in der Menüleiste auf DuckDuckGo -> Check for Updates. Ist eine neue Version verfügbar, dann wird euch deren Beschreibung und darunter der „Install Update“-Button angeboten. Nutzt diesen, um den Browser zu aktualisieren. Anschließend bestätigt ihr das Ganze mit dem „Install and Relaunch“-Button in einem kleineren Fenster.

Johannes Domke

Johannes hat nach dem Abitur eine Ausbildung zum Wirtschaftsassistenten in der Fachrichtung Fremdsprachen absolviert. Danach hat er sich aber für das Recherchieren und Schreiben entschieden, woraus seine Selbstständigkeit hervorging. Seit mehreren Jahren arbeitet er nun u. a. für Sir Apfelot. Seine Artikel beinhalten Produktvorstellungen, News, Anleitungen, Videospiele, Konsolen und einiges mehr. Apple Keynotes verfolgt er live per Stream.