KeRanger erpresst Mac-User

Malware für Mac OS X

Der Security-Software-Hersteller Eset hat einen funktionstüchtigen Erpressungstrojaner für das Apple-Betriebssystem Mac OS X analysiert. Der „KeRanger“ getaufte Filecoder wurde in einem Virenlabor einer umfassenden Untersuchung unterzogen.

Virus Alert

Erster voll funktionstüchtiger Erpressertrojaner auf Mac OS gefunden.

Bisher hatten sogenannte Erpressungstrojaner (auch „Filecoder“ oder „Ransomware“ genannt) nur Windows- und Android-Systeme im Visier. Das ändert sich jetzt. Nachdem kürzlich „Locky“ mit tausenden Neu-Infektionen pro Stunde weltweit sein Unwesen trieb, rücken nun auch Apple-Kunden in den Fokus der Cyber-Kriminellen.

Die Schadsoftware KeRanger erreichte Mac-Nutzer über eine kompromittierte Version des BitTorrent-Clients „Transmission“, die zwischen dem 4. und 5. März zum Download bereitstand. Offenbar gelang es den Angreifern, die offizielle Webseite des Clients zu infiltrieren und die Installationsdateien mit dem Filecoder zu belegen. Daran tückisch: ein gültiges Entwicklerzertifikat sorgte dafür, dass die Apple-eigene Sicherheitsfunktion „Gatekeeper“ die Installation trotz Malware gewähren ließ. Die betroffene Transmission-Version hört auf die Versionsnummer 2.90.
 
Mittlerweile haben die Entwickler des BitTorrent-Clients sowohl über die Software als auch über die Webseite eine Warnmeldung an alle Nutzer ausgegeben, die ein dringliches Update auf Version 2.91 empfiehlt.
 
Bei KeRanger handelt es sich um die erste voll funktionstüchtige Mac-Ransomware, die entdeckt wurde. Dank der Reaktion der Transmission-Entwickler verteilt sich die infizierte Installationsdatei nicht weiter, die Infektionsraten stagnieren wieder. Außerdem hat Apple mittlerweile das missbrauchte Zertifikat gesperrt, um weitere Installationen zu verhindern.

Wie geht KeRanger vor?

Die Analyse von Eset ergab, dass KeRanger nach der Ausführung der Installationsdateien drei Tage ins Land ziehen lässt, bis die Verschlüsselung von privaten Dateien angestoßen wird. Selbst wenn heute eine Infektion vorliegt, ist somit noch kein Schaden entstanden. Nach der Aktivierung verbindet sich die Schadsoftware mit einer von sechs Seiten innerhalb des TOR-Netzwerkes, um von dort die Lösegeldforderung und den öffentlichen RSA Key zu laden. Die Verbindung zum TOR-Netzwerk wird über öffentliche TOR2WEB Gates hergestellt.

Um zu prüfen, ob der eigene Mac infiziert ist, rät der Sicherheitsexperte dazu, neben des Transmission-Clients die nachfolgenden Dateien zu löschen, sofern sie innerhalb des Mac-Dateisystems auffindbar sind:
 
/Applications/Transmission.app/Contents/Resources/ General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
%HOME_DIR%/Library/kernel_service/kernel_service
%HOME_DIR%/Library/kernel_service/.kernel_pid
%HOME_DIR%/Library/kernel_service/.kernel_time
 
Sobald KeRanger mit der Chiffrierung der Dateien in den Ordnern /Users und /Volumes beginnt, gibt es keinen Weg, um wieder an die verschlüsselten Daten zu kommen: Die Malware nutzt mit RSA-2048 und AES-256 Algorithmen, die nicht zu knacken sind.

Dateien sind nach Verschlüsselung verloren

Im ersten Schritt wählt die Malware einen zufälligen 256-Bit-Schlüssel für den AES-Algorithmus aus, verschlüsselt die Datei, um im Anschluss den AES-Schlüssel mit dem RSA-Algorithmus zu chiffrieren und abzulegen. Diese Vorgehensweise führt dazu, dass verschiedene Dateien auch unterschiedliche Verschlüsselungs-Keys besitzen. Die mit der Endung .encrypted versehen Daten sind verloren.

Die Schadsoftware fordert im Anschluss nicht proaktiv eine Lösegeldzahlung ein, sondern weist in einer Textdatei darauf hin, die in jedem Ordner mit verschlüsselten Dateien abliegt. Darin wird zur Zahlung eines Bitcoins aufgefordert.

Damit es erst gar nicht zu einer Infektion kommt, empfiehlt Eset den Einsatz einer Sicherheitslösung für Mac OS X wie der Eset Cyber Security Pro. Zusätzlich rät der Hersteller zu regelmäßigen Updates – ganz egal, ob Windows- oder Mac-Nutzer.


Bildquelle: Thinkstock/ iStock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok