Dabei kann die Malware Netzwerkverkehr abfangen, mit einem Command‑and‑Control‑Server (C2) kommunizieren und Informationen über das kompromittierte System sammeln.

👉 Funfact: Golang wird immer beliebter für Malware – vor allem, weil die kompilierten Programme schnell sind und sich leicht für verschiedene Plattformen bauen lassen.

Was steckt hinter der Proxit‑Malware?

Die Malware wurde erstmals im Dezember 2021 entdeckt. Seitdem entwickelt sie sich kontinuierlich weiter und erhält regelmäßig neue Funktionen. Microsoft hat ihr den Namen “Proxit” gegeben – basierend auf den verwendeten Modulen und dem auffälligen Fokus auf Proxy‑Funktionen.

Besonders interessant:
Proxit kombiniert Open‑Source‑Hacking‑Tools mit eigenen Modulen, um Datenverkehr aus Chat‑Apps, Medienprogrammen und sogar Finanz‑Tools abzugreifen.

Schutz durch Microsoft Defender

Microsoft Defender Antivirus und Microsoft Defender for Endpoint können diese Malware erkennen und blockieren.
Defender erkennt nicht nur die initiale Malware, sondern ebenfalls:

• nachgeladene Payloads
• verdächtige Netzwerkaktivitäten
• missbräuchliches Prozessverhalten

Damit hast du eine solide Erkennungs‑ und Schutzbasis — vorausgesetzt, Defender ist aktiv und aktuell.

Wie gelangt Proxit auf ein macOS‑Gerät?

Der Angriff beginnt über eine eingebettete Mach‑O‑Datei, die als ZIP gepackt auf das System gelangt. Häufig tarnt sich die Datei als:

• gefälschtes Software‑Update
• Malvertising‑Download
• „nützliche“ App‑Erweiterung

Die Malware lädt dann über Python‑Code weitere Daten nach.

So läuft die Infektion ab:

1. ZIP‑Archiv landet auf dem Gerät
   Enthält eine Python‑basierte Mach‑O‑Datei.

2. Downloader lädt weitere ZIP‑Pakete nach
   Dies geschieht über eine Curl‑Abfrage auf die Domain:
   peerbinary-manager.ams3.digitaloceanspaces.com

3. Dateien werden in /tmp entpackt

4. Umgehung von Apples Gatekeeper
   Mithilfe von xattr wird das Quarantäne‑Flag entfernt.

5. Die Golang‑basierte Malware wird in “/Library/Application Support” abgelegt und ausgeführt

6. Alle Spuren werden gelöscht
   Der Angreifer entfernt Dropper‑Dateien mithilfe des Befehls rm.

So entsteht ein nahezu spurloser Angriff — typisch für moderne, modulare Malware.

Die Proxit‑Module im Überblick

Die eigentliche Schadfunktion steckt in einer Golang‑Komponente, die ebenfalls „proxit“ heißt. Sie enthält mehrere spezialisierte Module.

Wichtige Module:

• proxit_com_peer_peer*
  Verbindung zum C2‑Server aufbauen und verwalten.

• proxit_com_common_config*
  Konfigurationsdateien laden – abhängig von der Version.

• proxit_com_common_messages*
  Nachrichten mit dem C2 austauschen.

• proxit_com_cnc_grpcmodels*
  Peer‑Proxys und Kommunikationskanäle einrichten.

• proxit_com_common_hostinfo*
  Hardware‑Infos sammeln (CPU‑Werte, Systemdaten).

• proxit_com_common_logger*
  Aktivitäten und Startphasen protokollieren.

Weitere versteckte Funktionen

Nach dem Start prüft die Malware u. a.:

• macOS‑Version
• Hardware‑Umgebung
• mögliche Virtualisierung (z. B. Sandbox‑Umgebungen)

Dafür nutzt sie Systembefehle, um Analysen zu umgehen — ein typisches Verhalten moderner Malware.

Zudem sind bereits mehrere Varianten aufgetaucht, die unterschiedlich kompiliert wurden und verschiedene Golang‑Projekte einbinden.

Fazit

Proxit zeigt, wie professionell aktuelle macOS‑Malware inzwischen aufgebaut ist.
Durch die modulare Struktur, das Abfangen von Netzwerkverkehr und die Nutzung von Golang ist diese Bedrohung nicht nur flexibel, sondern auch sehr gut erweiterbar.
Unternehmen sollten deshalb:

• macOS‑Systeme aktuell halten
• Defender oder vergleichbare Schutzlösungen aktiv nutzen
• ungewöhnliche Netzwerkverbindungen überwachen
• Downloads aus unbekannten Quellen strikt vermeiden

Wenn du Unterstützung im Bereich Endpoint‑Security brauchst, helfen wir dir gerne weiter.

👉 Jetzt Kontaktieren!