Erpresserischer Apple-Trojaner »KeRanger«
Neue Ransomware verschlüsselt Macs
Nach den zahlreichen Angriffen erpresserischer Verschlüsselungstrojaner auf Windows-Systeme in den letzten Wochen nehmen die Hintermänner mit ihrem neuesten Schädling »KeRanger« jetzt Apples Macs ins Visier.
Seit Wochen halten diverse Verschlüsselungstrojaner wie zuletzt »Locky« IT-Abteilungen in Unternehmen und öffentlichen Einrichtungen, Sicherheitsexperten und Anwender in Atem. Die Schädlinge verschlüsseln wichtige Dateien auf den Geräten und Netzwerklaufwerken, um von den Besitzern anschließend ein »Lösegeld« für den passenden Schlüssel zu erpressen. Nachdem sich diese fiesen Angriffe bisher stets auf Computer mit Microsoft Windows-Betriebssystemen konzentriert hatten, müssen jetzt erstmals auch die Nutzer von Apples Macs besondere Vorsicht walten lassen. Seit Freitag rollt eine weltweite Angriffswelle mit dem neuen Ransomware-Trojaner »KeRanger«, der sich als erster seiner Art gezielt gegen OS X-Geräte richtet. Zwar war bereits 2014 die Ransomware »FileCoder« für Macs aufgetaucht, die jedoch entdeckt wurde, bevor sie fertig entwickelt war und in »freier Wildbahn« ernsthaften Schaden anrichten konnte. Wie zuvor auch schon bei Locky wird die Verschlüsselung mit KeRanger zeitgesteuert gestartet.
Entdeckt wurde der Apple-Schädling durch die Sicherheitsexperten von Palo Alto Networks, die zudem gleich ein erstes Einfallstor der Infizierung ermitteln konnten (Wie Sie überprüfen können, ob Ihr Mac infiziert wurde, lesen Sie auf Seite 2). Demnach sind bislang vor allem Macs betroffen, auf denen die Open Source Software »Transmission« installiert ist, die Installationsprogramme diverser BitTorrentClients für OS X zur Verfügung stellt. Offenbar hatten es die Hintermänner geschafft, zwei Versionen des Installers von Transmission mit ihrer Malware zu kompromittieren. Da der Trojaner mit einem gültigen Entwicklungszertifikat für Mac Apps signiert war, ließ ihn die Gatekeeper-Funktion ungehindert gewähren. Drei Tage nach der Installation öffnet sich eine eingebettete ausführbare Datei auf dem System, die sich über das für anonyme Aktivitäten gedachte Tor-Netzwerk mit den C2-Servern verbindet. Anschließend beginnt der Trojaner damit, verschiedene Dateien zu verschlüsseln. Genau wie bei Locky wird den Nutzern zum Schluss ein Erpresserbrief angezeigt, der sie auffordert, über eine spezielle Website im Tor-Netzwerk einen Bitcoin (ca. 370 Euro) für die Zusendung des Schlüssels zur Rettung der Dateien zu überweisen. Zu den weiteren auffälligen Ähnlichkeiten mit Locky gehört außerdem, dass auch KeRanger versucht, Wiederherstellungen unmöglich zu machen, indem er auch die dafür benötigten Time-Machine-Backups verschlüsselt.
Apple hat das missbrauchte Zertifikat inzwischen widerrufen und die XProtect-Antiviren-Signatur aktualisiert. Wer die entsprechenden Updates installiert hat und versucht eine manipulierte Version von Transmission zu öffnen, bekommt einen Warnhinweis angezeigt, dem er unbedingt folgen sollte. Das Transmission Project hat die kompromittierten Installationsdateien von seiner Seite entfernt und ein Update auf Version 2.92 zur Verfügung gestellt, mit dem der Trojaner aus der Software gelöscht werden soll, wenn er sich noch nicht aktiviert hat. Die Palo Alto Networks Sicherheitsforscher gehen allerdings davon aus, dass sich KeRanger noch in der Entwicklungsphase befindet. Somit könnten modifizierte Versionen der Ransomware in nächster Zeit auch in anderen infizierten Mac-Apps auftauchen.
- Neue Ransomware verschlüsselt Macs
- So überprüfen Sie, ob Ihr Mac von KeRanger befallen ist
Lesen Sie mehr zum Thema
