Update: "Poseidon Stealer" zielt auf Schweizer macOS-User und ihre Kryptos

Update vom 12.07.2024: Ende Juni hat das Bundesamt für Cybersicherheit (BACS) zahlreiche Meldungen zu E-Mails erhalten, die vermeintlich von AGOV, dem Behörden-Login der Schweiz, stammen. In den Mails fordern die Absender die Adressaten dazu auf, eine schädliche DMG-Datei herunterzuladen - dies mit dem Ziel, Computer mit dem macOS-Betriebssystem zu infizieren. 

Beim Softwarepaket handelt es sich um eine Malware namens "Poseidon Stealer". Das BACS hat nun eine technische Analyse der Schadsoftware durchgeführt und einen entsprechenden Bericht (PDF) dazu veröffentlicht. Die Analyse zeigt auf, wie die Schadsoftware vorgeht, um zu den Daten der Opfer zu gelangen und diese zu entwenden. 

Sobald die Schadsoftware installiert worden ist, durchsucht diese den Computer nach sensiblen Informationen wie beispielsweise Anmeldedaten, private Schlüssel, Cookies und Krypto-Wallets und sammelt diese. Anschliessend würden diese Daten in einer ZIP-Datei komprimiert und an den Server der Cyberkriminellen geschickt, teilt das BACS mit. 

Besonders an "Poseidon Stealer" sei Folgendes: Nachdem die Daten abgeflossen sind und das infizierte Gerät neu gestartet wurde, verbleibt die Schadsoftware zwar auf dem Gerät - sie wird aber nicht mehr ausgeführt. 

Wer eine verdächtige E-Mail erhält, sollte sie an die Adresse reports@antiphishing.ch weiterleiten. 

Originalmeldung vom 02.07.2024: 

Cyberkriminelle verbreiten Mac-Malware unter Agov-Deckmantel

Künftig sollen Behördendienstleistungen auf Bundes-, Kantons- und Gemeindeebene über ein einheitliches Login zugänglich sein. Dieser Authentifizierungsdienst der Schweizer Behörden (AGOV) hat Anfang 2024 in zwei Kantonen den Pilotbetrieb aufgenommen.

Cyberkriminelle nutzen die Software nun aus, um eine grosse "Malspam"-Kampagne gegen Einwohnerinnen und Einwohner in der Deutschschweiz durchzuführen. Wie das Bundesamt für Cybersecurity (BACS) mitteilt, erreichen die Behörde aktuell zahlreiche entsprechende Meldungen.

Die Kampagne begann demnach am Abend des 27. Juni. Betroffene berichten von E-Mails, in welchen die Angeschriebenen aufgefordert werden, ein Software-Paket herunterzuladen. Dazu werden die Opfer auf eine externe Webseite weitergeleitet, auf welcher ein Software-Paket für macOS angeboten wird.

Dabei verweist die E-Mail explizit auf das Programm "AGOV Access" und wie dieses in Betrieb zu nehmen sei. Wie das BACS schreibt, ist "AGOV Access" allerdings nur als Smartphone-App erhältlich.

E-Mail mit dem Aufruf, die angebliche Agov-Software zu installieren. (Source: BACS)

Lädt das Opfer die Datei herunter und führt es diese aus, werde der Computer stattdessen mit einer Schadsoftware namens "Poseidon Stealer" infiziert. Ist diese Schadsoftware einmal auf dem Gerät installiert, stiehlt sie diverse Informationen vom Computer des Opfers und sende diese an die Cyberkriminellen.

Das BACS empfiehlt, diese missbräuchliche E-Mail umgehend zu löschen. Anwenderinnen und Anwendern, welche die Malware heruntergeladen und installiert haben, empfiehlt das BACS, das betroffene Gerät umgehend neu aufzusetzen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.