Categories: SicherheitVirus

KeRanger: Ransomware befällt OS X

Mac-Nutzer, die kürzlich den BitTorrent-Client Transmission heruntergeladen und installiert haben, haben ihr System möglicherweise mit der Ransomware KeRanger infiziert. Darauf weist der Sicherheitsanbieter Palo Alto Networks hin. Demnach ist es Hackern offenbar gelungen, die auf der Website des Transmission-Projekts angebotenen Installationsdateien der Version 2.90 zu manipulieren.

„Die KeRanger-Anwendung war mit einem gültigen Mac-App-Entwickler-Zertifikat signiert“, heißt es in einem Blogeintrag von Palo Alto Networks. „Deswegen war sie in der Lage, Apples Gatekeeper-Schutz zu umgehen. Installiert ein Nutzer die infizierte App, wird eine eingebettete Datei ausgeführt. KeRanger wartet danach drei Tage, bis es sich über das Tor-Netzwerk mit einem Befehlsserver verbindet. Danach verschlüsselt die Malware bestimmte Arten von Dokumenten und Datendateien.“

Transmission warnt auf seiner Website vor dem mit der Ransomware KeRanger verseuchten Installer (Screenshot: ZDNet.de).

Das Zertifikat entspricht jedoch nicht dem, mit dem frühere Versionen des BitTorrent-Clients ausgeliefert wurden. Es sei am 4. März auf die Developer-ID „Polisan Boya Sanayi Ve Ticaret Anonim Sirketi“, ausgestellt worden, die offenbar einem türkischen Farbenhersteller gehört oder aber in dessen Namen beantragt wurde.

KeRanger verlange anschließend ein Lösegeld von einem Bitcoin (rund 400 Dollar), heißt es weiter in dem Blogeintrag. Die Malware sei damit die erste voll funktionsfähige Erpressersoftware für OS X.

Apple hat inzwischen das Entwicklerzertifikat zurückgezogen. Zudem aktualisierte es seinen Malware-Schutz XProtect, der nun KeRanger erkennen und entfernen kann. Das Transmission-Projekt weist auf seiner Website ebenfalls auf das Problem hin. Dort finden Betroffene die neue Version 2.92, die nicht nur frei von Schadsoftware ist, sondern auch in der Lage sein soll, KeRanger vollständig zu löschen.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Die schädliche Transmission-Version 2.90 wurde ab Freitagabend über einen Zeitraum von etwa 32 Stunden über die Website des Anbieters verbreitet. Betroffene Nutzer sollten prüfen, ob auf ihren Systemen in den Ordnern „Applications/Transmission.app/Contents/Resources“ oder „Volumes/Transmission/Transmission.app/Contents/Resources die Datei „General.rtf“ existiert. Paolo Alto beschreibt in seinem Blogeintrag auch, wie der zu KeRanger gehörende Systemprozess gestoppt und die Ransomware manuell gelöscht werden kann.

Im Februar war es Hackern gelungen, über die Website der Linux-Distribution Mint ISO-Dateien zu verteilen, die eine Backdoor enthielten. Betroffene schlossen sich unfreiwillig einem Botnet mit einigen Hundert infizierten Linux-Rechnern an. Als Einfallstor diente dem Hacker eine veraltete WordPress-Installation. Wie der manipulierte Installer auf die Website des Transmission-Projekts gelangte, ist indes nicht bekannt.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago