Erste Ransomware für OS X rund 6500-mal heruntergeladen

Die erste bekannt gewordene Ransomware für Apples Betriebssystem OS X ist rund 6500-mal heruntergeladen worden. Das sagte John Clay vom Projekt Transmission der Agentur Reuters. Der Bittorrent-Client Transmisson, genauer die Version 2.90, war für die Verteilung des Schadprogramms genutzt worden. Sie stand etwa 32 Stunden lang zum Download bereit.

Das Erpresserprogramm fand sich in einem Disk-Image der Software. Clay führte gegenüber der Agentur aus: „Wir kommentieren nicht, welchen Weg die Angreifer eingeschlagen haben, können aber sagen, dass unser Hauptserver kompromittiert wurde. Das normale Disk-Image wurde durch das kompromittierte ersetzt.“

Seit dem Vorfall sei „die Sicherheit des Servers erhöht“ worden, heißt es noch. Das Transmission-Projekt stehe in Kontakt mit Apple und auch mit dem Sicherheitsteam von Palo Alto Networks, das die Ransomware aufspürte.

Transmission warnt auf seiner Website vor dem mit der Ransomware KeRanger verseuchten Installer (Screenshot: ZDNet.de).

Die Malware namens KeRanger verlangt laut Palo Alto Networks ein Lösegeld von einer Bitcoin (rund 400 Dollar). Sie war mit einem gültigen Mac-App-Entwickler-Zertifikat signiert und dadurch in der Lage, Apples Gatekeeper-Schutz zu umgehen. Das Zertifikat entspricht jedoch nicht dem bei Transmission üblichen. Vielmehr ist es am 4. März auf die Developer-ID „Polisan Boya Sanayi Ve Ticaret Anonim Sirketi“ ausgestellt worden, die offenbar einem türkischen Farbenhersteller gehört oder aber in dessen Namen beantragt wurde.

Weiter teilten die Sicherheitsforscher mit: „Installiert ein Nutzer die infizierte App, wird eine eingebettete Datei ausgeführt. KeRanger wartet danach drei Tage, bis es sich über das Tor-Netzwerk mit einem Kommandoserver verbindet. Danach verschlüsselt die Malware bestimmte Arten von Dokumenten und Datendateien.“

Nach Bekanntwerden des Angriffs zog Apple das Entwicklerzertifikat zurück und aktualisierte seinen Malware-Schutz XProtect, der nun KeRanger erkennt und entfernt. Das Transmission-Projekt aktualisierte sobald möglich auf Version 2.92, die nicht nur frei von Schadsoftware ist, sondern auch in der Lage sein soll, KeRanger vollständig zu löschen.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Eventuell betroffene Nutzer sollten prüfen, ob auf ihren Systemen in den Ordnern Applications/Transmission.app/Contents/Resources oder Volumes/Transmission/Transmission.app/Contents/Resources eine Datei namens General.rtf existiert. Palo Alto beschreibt in seinem Blogeintrag auch, wie der zu KeRanger gehörende Systemprozess gestoppt und die Ransomware manuell gelöscht werden kann.

Im Februar war es Hackern gelungen, über die Website der Linux-Distribution Mint ISO-Dateien zu verteilen, die eine Backdoor enthielten. Betroffene schlossen sich unfreiwillig einem Botnet mit einigen Hundert infizierten Linux-Rechnern an. Als Einfallstor diente dem Hacker eine veraltete WordPress-Installation. Wie der manipulierte Installer auf die Website des Transmission-Projekts gelangte, ist indes nicht bekannt.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

6 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

10 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

11 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

11 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

11 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

14 Stunden ago