Wie Hacker AppleScript missbrauchen – und wie man sich davor schützen kann

geschätzter Leseaufwand: 3 Minuten

Es soll da diese weit verbreitete Annahme geben, Hacker und andere unliebsame Gesellen fokussieren sich bei ihren Cyberangriffen auf Apple-Gerätschaften vor allem auf Python- und Shell-Scripts, auf infizierte Dokumente, auf schadhafte Browser Extensions und anderes verseuchtes Zeugs. Doch hier kommt die schlechte Nachricht: Es gibt eine weitere Schleuse, die oft und gerne ignoriert wird, nämlich AppleScript.

Dabei wird diese Skriptsprache schon lange in macOS 10 genutzt, genauer gesagt seit 1993, also seit etwa 17 Jahren. Mit AppleScript lassen sich vornehmlich macOS-Anwendungen automatisieren, erweitern und innerhalb eines Rechnernetzes fernsteuern. Und genau darin liegt auch das Hauptinteresse vieler Hacker, die über das Einfallstor AppleScript auf einen Mac gelangen wollen.

Dabei kommt AppleScript in der Breite kaum vor, denn es kann weder auf Windows-Rechnern (sic!) eingesetzt werden noch auf den Apple-Mobilplattformen iOS oder iPadOS. Was macht die Skriptsprache dann so interessant für die Hacker dieser Welt?

Hacker “mögen” die Automatisierungsmöglichkeiten von AppleScript

Nun, es sind vor allem diese Automatisierungsmöglichkeiten, die AppleScript bietet. Damit lässt sich beispielsweise eine E-Mail auf ihren Inhalt hin untersuchen, in Einzelteile zerlegen und diese dann in eine Anwendung wie Excel oder Numbers speichern, wo sie sich für andere Zwecke nutzen lassen. Das geschieht völlig automatisch, sodass der Anwender im ungünstigen Fall gar nicht mitbekommt, welche Daten da in seiner Anwendung und auf seinem Rechner landen.

Lesetipp >>  Videochat: "INtime und RT Lua ermöglichen CANopen-IoT-Gateways"

Und genau da kommen die “bösen Buben” ins Spiel. So zeigt ein gutes Beispiel, wie AppleScript von Hackern missbraucht wird. So machte eine Anwendung namens PDFConverter4U die Runde, in dessen DMG-Image (das vermeintlich zu installierende Programm) während der (vermeintlichen) Installation eine Verkettung von Shell- und AppleScripts dafür sorgte, dass jede Internetsuche des infizierten Rechners durch einen infizierten Suchbegriff ersetzt wurde. Womit sich der Hacker mithilfe der illegal erzwungenen Klicks bereichert hat. Das klingt noch recht harmlos, wie?!

AppleScript & die Cocoa-Programmierschnittstelle: eine gefährliche Mixtur

Doch es gibt noch brisantere Möglichkeiten, wie Hacker AppleScript für ihre Zwecke missbrauchen. Denn seit der zehnten Version von macOS namens Yosemite (also seit Oktober 2014 oder fünfeinhalb Jahren) kann die Skriptsprache für das Erstellen “echter” Programme genutzt werden, und das mithilfe der Apple-eigenen Programmierschnittstelle Cocoa, die beispielsweise Zugriff auf Objective-C-basierte Anwendungen erlaubt.

Damit lässt sich ein infektiöses AppleScript nämlich innerhalb eine Apple-Anwendung wie Mail oder Kalender ausführen, und niemand bekommt das wirklich mit. Am wenigsten natürlich der Anwender, aber auch leider nicht mal das Endpoint Security Framework, das Apple extra für diese Zwecke in macOS 10.15 (Catalina) implementiert hat. Das gilt allerdings “nur” für die Fälle, in denen das infizierte AppleScript direkt über die Cocoa-API auf den Rechner geschleust wird. Und das macht AppleScript in Verbindung mit macOS 10.10 und höher so gefährlich.

Lesetipp >>  Videoblog: "Der Umstieg von Lotus Domino auf Mendix gelingt äußert ressourcensparend"

Das kann jede*r: AppleScript-Cocoa-Programme mittels Drag’n’Drop “bauen”

Darüber hinaus ist kein AppleScript-Spezialwissen mehr  erforderlich, da es schon eine ganze Weile kleine Tools gibt, mit denen sich per Drag’n’Drop Cocoa-basierte Programme mit infiziösen Skripten erstellen lassen. Das senkt die Schwelle an AppleScript-Malware ganz erheblich. Doch wie lassen sich Mac-Rechner gegen diese Form der Malware-Attacken dann überhaupt schützen?

Mittels Endpoint Detection & Response AppleScript-Malware identifizieren und eliminieren

Nun, hierauf gibt es eigentlich nur eine Antwort: Endpoint Detection & Response. Denn nur so kann direkt auf jedem Apple-Computer das infizierte Programm oder das infizierte Script entdeckt, analysiert, in Quarantäne geschickt und eliminiert werden. Und das sogar mithilfe von KI-Algorithmen. Aber das erzählt Matthias Canisius von SentinelOne am besten selbst.

Disclaimer: Diesen Blogbeitrag habe ich im Auftrag von SentinelOne verfasst. Bei der Ausgestaltung der Inhalte hatte ich nahezu freie Hand.