Werbung

Erpressungstrojaner erreichen Macs

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Erpressungstrojaner erreichen Macs

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print
Der europäische Security-Software-Hersteller Eset hat den ersten voll funktionstüchtigen Erpressungstrojaner für das Apple-Betriebssystem Mac OS X analysiert, der am Wochenende erstmals in freier Wildbahn gesichtet wurde. Der „KeRanger“ getaufte Filecoder wurde jetzt im Virenlabor in Bratislava einer umfassenden Untersuchung unterzogen.
Transmission-Zertifikat.

Der europäische Security-Software-Hersteller Eset hat den ersten voll funktionstüchtigen Erpressungstrojaner für das Apple-Betriebssystem Mac OS X analysiert, der am Wochenende erstmals in freier Wildbahn gesichtet wurde. Der „KeRanger“ getaufte Filecoder wurde jetzt im Virenlabor in Bratislava einer umfassenden Untersuchung unterzogen.

Dateien verschlüsselt, Mac-User erpresst

Bisher hatten so genannte Erpressungstrojaner (auch „Filecoder“ oder „Ransomware“ genannt) nur Windows- und Android-Systeme im Visier. Das ändert sich jetzt. Nachdem kürzlich „Locky“ mit tausenden Neu-Infektionen pro Stunde weltweit sein Unwesen trieb, rücken nun auch Apple-Kunden in den Fokus der Cyber-Kriminellen.

Die Schadsoftware KeRanger erreichte Mac-Nutzer über eine kompromittierte Version des BitTorrent-Clients „Transmission“, die zwischen dem 4. und 5. März zum Download bereitstand. Offenbar gelang es den Angreifern, die offizielle Website des Clients zu infiltrieren und die Installationsdateien mit dem Filecoder zu belegen. Daran tückisch: ein gültiges Entwicklerzertifikat sorgte dafür, dass die Apple-eigene Sicherheitsfunktion „Gatekeeper“ die Installation trotz Malware gewähren ließ. Die betroffene Transmission-Version hört auf die Versionsnummer 2.90.

Zertifikat der infizierten Transmission-Anwendung.

 

Mittlerweile haben die Entwickler des BitTorrent-Clients sowohl über die Software als auch über die Website eine Warnmeldung an alle Nutzer ausgegeben, die ein dringliches Update auf Version 2.91 empfiehlt.

Warnmeldung der Transmission-Entwickler in Mac OS X.

 

Bei KeRanger handelt es sich um die erste voll funktionstüchtige Mac-Ransomware, die entdeckt wurde. Dank der schnellen Reaktion der Transmission-Entwickler verteilt sich die infizierte Installationsdatei nicht weiter, die Infektionsraten stagnieren wieder. Außerdem hat Apple mittlerweile das missbrauchte Zertifikat gesperrt, um weitere Installationen zu verhindern.

Wie geht KeRanger vor?

Die Analyse von Eset ergab, dass KeRanger nach der Ausführung der Installationsdateien drei Tage ins Land ziehen lässt, bis die Verschlüsselung von privaten Dateien angestoßen wird. Selbst wenn heute eine Infektion vorliegt, ist somit noch kein Schaden entstanden. Nach der Aktivierung verbindet sich KeRanger mit einer von sechs Seiten innerhalb des TOR-Netzwerkes, um von dort die Lösegeld-Forderung und den öffentlichen RSA Key zu laden. Die Verbindung zum TOR-Netzwerk wird über öffentliche TOR2WEB Gates hergestellt.

Um zu prüfen, ob der eigene Mac mit KeRanger infiziert ist, rät Eset dazu, neben des Transmission-Clients die nachfolgenden Dateien zu löschen, sofern sie innerhalb des Mac-Dateisystems auffindbar sind:

/Applications/Transmission.app/Contents/Resources/ General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
%HOME_DIR%/Library/kernel_service/kernel_service
%HOME_DIR%/Library/kernel_service/.kernel_pid
%HOME_DIR%/Library/kernel_service/.kernel_time

Sobald KeRanger mit der Chiffrierung der Dateien in den Ordnern /Users und /Volumes beginnt, gibt es keinen Weg, um wieder an die verschlüsselten Daten zu kommen: Die Malware nutzt mit RSA-2048 und AES-256 Algorithmen, die nicht zu knacken sind.

Dateien sind nach Verschlüsselung verloren

Im ersten Schritt wählt die Malware einen zufälligen 256-Bit-Schlüssel für den AES-Algorithmus aus, verschlüsselt die Datei, um im Anschluss den AES-Schlüssel mit dem RSA-Algorithmus zu chiffrieren und abzulegen. Diese Vorgehensweise führt dazu, dass verschiedene Dateien auch unterschiedliche Verschlüsselungs-Keys besitzen. Die mit der Endung .encrypted versehen Daten sind verloren.

KeRanger fordert im Anschluss nicht proaktiv eine Lösegeldzahlung ein, sondern weist in einer Textdatei darauf hin, die in jedem Ordner mit verschlüsselten Dateien abliegt. Darin wird zur Zahlung eines Bitcoins aufgefordert.

Erpressungstext von KeRanger nach erfolgter Verschlüsselung.

 

Damit es erst gar nicht zu einer Infektion kommt, empfiehlt Eset den Einsatz einer leistungsstarken Security-Software für Mac OS X wie der Eset Cyber Security Pro. Die Eset-Sicherheitslösung schützt seit dem automatischen Virensignatur-Update 13137 von Montagfrüh zuverlässig vor KeRanger. Zusätzlich rät Eset zu regelmäßigen Updates – ganz egal, ob Windows- oder Mac-Nutzer. Weitere Informationen zur KeRanger-Malware erhalten Sie im Eset Security-Blog WeLiveSecurity.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Die VENDOSOFT GmbH ist im IT-Umfeld als Reseller gebrauchter Microsoft- und Adobe-Lizenzen bekannt. Doch immer häufiger rät der Software-Anbieter zu hybriden Software-Konzepten. Damit profitieren Unternehmen von der Flexibilität der Microsoft Cloud wie auch von der Sicherheit und Kosteneffizienz gekaufter On-Premises-Lizenzen.
Werbung

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Werbung
Werbung

Aktuelle Ausgabe

Topthema: Auf dem daten Friedhof

Dark Data: Wirtschaftliche Chancen mit Cloud, KI und BI nutzen.

Mehr erfahren

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.