Computerwelt: Aktuelle IT-News Österreich


07.03.2016 Rudolf Felser/pi

BitTorrent-Client infiziert: Ransomware-Kampagne gegen Mac-Nutzer

Am Wochenende waren Apple-Nutzer laut Palo Alto Networks von der ersten Ransoware-Kampagne gegen Mac-Computer betroffen. Sie trägt den Namen "KeRanger".

KeRanger: Ransomware befällt Apple-Rechner

KeRanger: Ransomware befällt Apple-Rechner

© CC0 Public Domain - pixabay.com

Palo Alto Networks hat am Freitagabend entdeckt, dass zwei Installationsprogramme von Transmission mit Ransomware infiziert sind. Das Open-Source-Projekt stellt BitTorrent-Client-Installationsprogramme für OS X zur Verfügung. Die Entdeckung erfolgte nur wenige Stunden, nachdem die Installationssoftware erstmals verfügbar war. Palo Alto Networks hat diese Ransomware "KeRanger" benannt.

Die einzige zuvor bekannte Ransomware für OS X war FileCoder, entdeckt im Jahr 2014. Da FileCoder zum Zeitpunkt der Entdeckung unvollständig war, dürfte KeRanger laut Einschätzung der Entdecker die erste voll funktionsfähige Ransomware, die auf die OS X-Plattform abzielt, sein. Es ist möglich dass die offizielle Website von Transmission kompromittiert wurde und Dateien durch manipulierte, bösartige Versionen ausgetauscht worden sind. Palo Alto Networks kann dies derzeit jedoch nicht bestätigen.

Die KeRanger-Applikation war mit einem gültigen Entwicklungszertifikat für Mac-Apps signiert und konnte so die Gatekeeper-Funktion von Apple umgehen. Wenn ein Benutzer die infizierten Apps installiert, kommt eine eingebettete ausführbare Datei auf dem System zum Einsatz. KeRanger wartet dann drei Tage, um sich mit den C2-Servern über das Tor-Netzwerk zu verbinden. Die Malware beginnt dann bestimmte Arten von Dokumenten und Dateien auf dem System zu verschlüsseln.

Nachdem der Verschlüsselungsvorgang abgeschlossen ist, fordert KeRanger von den Opfern ein Bitcoin (ca. 370 Euro), um die Dateien zu entschlüsseln. Die Zahlung des Lösegelds erfolgt über eine spezielle Website im Tor-Netzwerk, eine mittlerweile übliche Vorgehensweise. Damit ist KeRanger doppelt so "teuer" wie die aktuelle Ransomware "Locky", wie Windows-Systeme angreift und sich mit 0.5 Bitcoins "begnügt".

IN ENTWICKLUNGSPHASE

KeRanger scheint sich noch in der aktiven Entwicklungsphase zu befinden. Die Malware versucht offensichtlich auch, Time-Machine-Dateien zu verschlüsseln, um zu verhindern, dass sich Opfer ihre Daten aus dem Backup wiederherstellen.

Apple hat zwischenzeitlich das missbrauchte Zertifikat widerrufen und die XProtect-Antiviren-Signatur aktualisiert. Ebenso hat Transmission Project die bösartigen Installationsprogramme von seiner Website entfernt.

Dennoch könnten Benutzer, die zwischen 4. März, 20.00 Uhr, und 5. März, 4.00 Uhr, Transmission-Installationsprogramme von der offiziellen Website heruntergeladen haben, durch KeRanger infiziert worden sein. Wenn die Installationsprogramme früher heruntergeladen oder von Drittanbieter-Websites heruntergeladen wurden, schlägt Palo Alto Networks den Benutzern ebenfalls vor, die folgenden Sicherheitsüberprüfungen durchführen. Benutzer älterer Versionen von Transmission scheinen nicht betroffen zu sein.

Maßnahmen zur Überprüfung:

  • Überprüfen Sie mittels Terminal oder Finder, ob /Applications/Transmission.app/Contents/Resources/ General.rtf oder /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf existieren. Wenn einer dieser Fälle zutrifft, ist die Transmission-Anwendung infiziert und diese Version sollte daher gelöscht werden.
  • Mittels "Activity Monitor", vorinstalliert in OS X, überprüfen Sie, ob ein Prozess namens kernel_service läuft. Wenn ja, überprüfen Sie den Prozess, wählen Sie die "Open Files and Ports" (Öffnen von Dateien und Ports) und prüfen Sie, ob ein Dateiname /Users/<username>/Library/kernel_service vorhanden ist. Wenn ja, ist dies der KeRanger-Hauptprozess. Diesen gilt es mit "Quit -> Force Quit" sofort zu beenden.
  • Nach diesen Schritten wird Benutzern euch empfohlen, zu überprüfen, ob die Dateien .kernel_pid, .kernel_time, .kernel_complete oder kernel_service im ~/Library-Verzeichnis vorhanden sind. Wenn ja, sollten diese ebenfalls gelöscht werden.


Da Apple die manipulierten Zertifikate widerrufen und XProtect-Signaturen aktualisiert hat, erscheint eine Warnmeldung, wenn ein Benutzer versucht, eine bekannte infizierte Version von Transmission zu öffnen. Palo Alto Networks empfiehlt in diesem Fall, Apples Anweisungen zu folgen, um Malware-Aktivitäten zu vermeiden. (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • ectacom GmbH

    ectacom GmbH Aus- und Weiterbildung, IT-Asset- und Lizenzmanagement, Übernahme von Softwareprojekten, Datenschutz, Antiviren- und Virenscanner Software, Backup und Recovery Systeme, Firewalls,... mehr
  • customer care solutions - Call Center Betriebs GmbH

    customer care solutions - Call Center Betriebs GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen, User Helpdesk-Systeme und Hotlines, Systempflege- und Wartung, Outsourcing, IKT-Consulting, Facility Management,... mehr
  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr

Hosted by:    Security Monitoring by: