Am Wochenende waren Apple-Nutzer laut Palo Alto Networks von der ersten Ransoware-Kampagne gegen Mac-Computer betroffen. Sie trägt den Namen "KeRanger". [...]
Palo Alto Networks hat am Freitagabend entdeckt, dass zwei Installationsprogramme von Transmission mit Ransomware infiziert sind. Das Open-Source-Projekt stellt BitTorrent-Client-Installationsprogramme für OS X zur Verfügung. Die Entdeckung erfolgte nur wenige Stunden, nachdem die Installationssoftware erstmals verfügbar war. Palo Alto Networks hat diese Ransomware „KeRanger“ benannt.
Die einzige zuvor bekannte Ransomware für OS X war FileCoder, entdeckt im Jahr 2014. Da FileCoder zum Zeitpunkt der Entdeckung unvollständig war, dürfte KeRanger laut Einschätzung der Entdecker die erste voll funktionsfähige Ransomware, die auf die OS X-Plattform abzielt, sein. Es ist möglich dass die offizielle Website von Transmission kompromittiert wurde und Dateien durch manipulierte, bösartige Versionen ausgetauscht worden sind. Palo Alto Networks kann dies derzeit jedoch nicht bestätigen.
Die KeRanger-Applikation war mit einem gültigen Entwicklungszertifikat für Mac-Apps signiert und konnte so die Gatekeeper-Funktion von Apple umgehen. Wenn ein Benutzer die infizierten Apps installiert, kommt eine eingebettete ausführbare Datei auf dem System zum Einsatz. KeRanger wartet dann drei Tage, um sich mit den C2-Servern über das Tor-Netzwerk zu verbinden. Die Malware beginnt dann bestimmte Arten von Dokumenten und Dateien auf dem System zu verschlüsseln.
Nachdem der Verschlüsselungsvorgang abgeschlossen ist, fordert KeRanger von den Opfern ein Bitcoin (ca. 370 Euro), um die Dateien zu entschlüsseln. Die Zahlung des Lösegelds erfolgt über eine spezielle Website im Tor-Netzwerk, eine mittlerweile übliche Vorgehensweise. Damit ist KeRanger doppelt so „teuer“ wie die aktuelle Ransomware „Locky“, wie Windows-Systeme angreift und sich mit 0.5 Bitcoins „begnügt“.
IN ENTWICKLUNGSPHASE
KeRanger scheint sich noch in der aktiven Entwicklungsphase zu befinden. Die Malware versucht offensichtlich auch, Time-Machine-Dateien zu verschlüsseln, um zu verhindern, dass sich Opfer ihre Daten aus dem Backup wiederherstellen.
Apple hat zwischenzeitlich das missbrauchte Zertifikat widerrufen und die XProtect-Antiviren-Signatur aktualisiert. Ebenso hat Transmission Project die bösartigen Installationsprogramme von seiner Website entfernt.
Dennoch könnten Benutzer, die zwischen 4. März, 20.00 Uhr, und 5. März, 4.00 Uhr, Transmission-Installationsprogramme von der offiziellen Website heruntergeladen haben, durch KeRanger infiziert worden sein. Wenn die Installationsprogramme früher heruntergeladen oder von Drittanbieter-Websites heruntergeladen wurden, schlägt Palo Alto Networks den Benutzern ebenfalls vor, die folgenden Sicherheitsüberprüfungen durchführen. Benutzer älterer Versionen von Transmission scheinen nicht betroffen zu sein.
Maßnahmen zur Überprüfung:
- Überprüfen Sie mittels Terminal oder Finder, ob /Applications/Transmission.app/Contents/Resources/ General.rtf oder /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf existieren. Wenn einer dieser Fälle zutrifft, ist die Transmission-Anwendung infiziert und diese Version sollte daher gelöscht werden.
- Mittels „Activity Monitor„, vorinstalliert in OS X, überprüfen Sie, ob ein Prozess namens kernel_service läuft. Wenn ja, überprüfen Sie den Prozess, wählen Sie die „Open Files and Ports“ (Öffnen von Dateien und Ports) und prüfen Sie, ob ein Dateiname /Users/
/Library/kernel_service vorhanden ist. Wenn ja, ist dies der KeRanger-Hauptprozess. Diesen gilt es mit „Quit -> Force Quit“ sofort zu beenden. - Nach diesen Schritten wird Benutzern euch empfohlen, zu überprüfen, ob die Dateien .kernel_pid, .kernel_time, .kernel_complete oder kernel_service im ~/Library-Verzeichnis vorhanden sind. Wenn ja, sollten diese ebenfalls gelöscht werden.
Da Apple die manipulierten Zertifikate widerrufen und XProtect-Signaturen aktualisiert hat, erscheint eine Warnmeldung, wenn ein Benutzer versucht, eine bekannte infizierte Version von Transmission zu öffnen. Palo Alto Networks empfiehlt in diesem Fall, Apples Anweisungen zu folgen, um Malware-Aktivitäten zu vermeiden. (pi/rnf)
Be the first to comment