BitTorrent-Client infiziert: Ransomware-Kampagne gegen Mac-Nutzer BitTorrent-Client infiziert: Ransomware-Kampagne gegen Mac-Nutzer - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


07.03.2016 Rudolf Felser/pi

BitTorrent-Client infiziert: Ransomware-Kampagne gegen Mac-Nutzer

Am Wochenende waren Apple-Nutzer laut Palo Alto Networks von der ersten Ransoware-Kampagne gegen Mac-Computer betroffen. Sie trägt den Namen "KeRanger".

KeRanger: Ransomware befällt Apple-Rechner

KeRanger: Ransomware befällt Apple-Rechner

© CC0 Public Domain - pixabay.com

Palo Alto Networks hat am Freitagabend entdeckt, dass zwei Installationsprogramme von Transmission mit Ransomware infiziert sind. Das Open-Source-Projekt stellt BitTorrent-Client-Installationsprogramme für OS X zur Verfügung. Die Entdeckung erfolgte nur wenige Stunden, nachdem die Installationssoftware erstmals verfügbar war. Palo Alto Networks hat diese Ransomware "KeRanger" benannt.

Die einzige zuvor bekannte Ransomware für OS X war FileCoder, entdeckt im Jahr 2014. Da FileCoder zum Zeitpunkt der Entdeckung unvollständig war, dürfte KeRanger laut Einschätzung der Entdecker die erste voll funktionsfähige Ransomware, die auf die OS X-Plattform abzielt, sein. Es ist möglich dass die offizielle Website von Transmission kompromittiert wurde und Dateien durch manipulierte, bösartige Versionen ausgetauscht worden sind. Palo Alto Networks kann dies derzeit jedoch nicht bestätigen.

Die KeRanger-Applikation war mit einem gültigen Entwicklungszertifikat für Mac-Apps signiert und konnte so die Gatekeeper-Funktion von Apple umgehen. Wenn ein Benutzer die infizierten Apps installiert, kommt eine eingebettete ausführbare Datei auf dem System zum Einsatz. KeRanger wartet dann drei Tage, um sich mit den C2-Servern über das Tor-Netzwerk zu verbinden. Die Malware beginnt dann bestimmte Arten von Dokumenten und Dateien auf dem System zu verschlüsseln.

Nachdem der Verschlüsselungsvorgang abgeschlossen ist, fordert KeRanger von den Opfern ein Bitcoin (ca. 370 Euro), um die Dateien zu entschlüsseln. Die Zahlung des Lösegelds erfolgt über eine spezielle Website im Tor-Netzwerk, eine mittlerweile übliche Vorgehensweise. Damit ist KeRanger doppelt so "teuer" wie die aktuelle Ransomware "Locky", wie Windows-Systeme angreift und sich mit 0.5 Bitcoins "begnügt".

IN ENTWICKLUNGSPHASE

KeRanger scheint sich noch in der aktiven Entwicklungsphase zu befinden. Die Malware versucht offensichtlich auch, Time-Machine-Dateien zu verschlüsseln, um zu verhindern, dass sich Opfer ihre Daten aus dem Backup wiederherstellen.

Apple hat zwischenzeitlich das missbrauchte Zertifikat widerrufen und die XProtect-Antiviren-Signatur aktualisiert. Ebenso hat Transmission Project die bösartigen Installationsprogramme von seiner Website entfernt.

Dennoch könnten Benutzer, die zwischen 4. März, 20.00 Uhr, und 5. März, 4.00 Uhr, Transmission-Installationsprogramme von der offiziellen Website heruntergeladen haben, durch KeRanger infiziert worden sein. Wenn die Installationsprogramme früher heruntergeladen oder von Drittanbieter-Websites heruntergeladen wurden, schlägt Palo Alto Networks den Benutzern ebenfalls vor, die folgenden Sicherheitsüberprüfungen durchführen. Benutzer älterer Versionen von Transmission scheinen nicht betroffen zu sein.

Maßnahmen zur Überprüfung:

  • Überprüfen Sie mittels Terminal oder Finder, ob /Applications/Transmission.app/Contents/Resources/ General.rtf oder /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf existieren. Wenn einer dieser Fälle zutrifft, ist die Transmission-Anwendung infiziert und diese Version sollte daher gelöscht werden.
  • Mittels "Activity Monitor", vorinstalliert in OS X, überprüfen Sie, ob ein Prozess namens kernel_service läuft. Wenn ja, überprüfen Sie den Prozess, wählen Sie die "Open Files and Ports" (Öffnen von Dateien und Ports) und prüfen Sie, ob ein Dateiname /Users/<username>/Library/kernel_service vorhanden ist. Wenn ja, ist dies der KeRanger-Hauptprozess. Diesen gilt es mit "Quit -> Force Quit" sofort zu beenden.
  • Nach diesen Schritten wird Benutzern euch empfohlen, zu überprüfen, ob die Dateien .kernel_pid, .kernel_time, .kernel_complete oder kernel_service im ~/Library-Verzeichnis vorhanden sind. Wenn ja, sollten diese ebenfalls gelöscht werden.


Da Apple die manipulierten Zertifikate widerrufen und XProtect-Signaturen aktualisiert hat, erscheint eine Warnmeldung, wenn ein Benutzer versucht, eine bekannte infizierte Version von Transmission zu öffnen. Palo Alto Networks empfiehlt in diesem Fall, Apples Anweisungen zu folgen, um Malware-Aktivitäten zu vermeiden. (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • HATAHET productivity solutions GmbH

    HATAHET productivity solutions GmbH Individual-Softwareentwicklung, Migrations-Management, Programmierung, System- und Netzwerk-Tuning, Systemintegration und Systemmanagement, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines,... mehr
  • Anexia

    Anexia Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, RZ-Dienstleistungen, Übernahme von Softwareprojekten, User Helpdesk-Systeme und Hotlines mehr
  • Editel Austria GmbH

    Editel Austria GmbH Supply Chain Management, E-Procurement und Supply Chain Management, Datenkonvertierung, Überwachungssysteme, Trust Center/Zertifizierungssoftware, Digitale Signatur, Datensicherung,... mehr
  • Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH

    Snap Consulting - Systemnahe Anwendungsprogrammierung u Beratung GmbH Wasser- und Energieversorgung, Öffentliche Verwaltung, Medizin und Gesundheitswesen, Maschinen- und Anlagenbau, Luft- und Raumfahrttechnik, Logistik, Konsumgüterindustrie,... mehr

Hosted by:    Security Monitoring by: