Erste Erpressersoftware für Macs

Der Security-Spezialist Palo Alto Networks hat gestern die Entdeckung der wohl ersten funktionierenden Erpresserssoftware für die OS-X-Plattform bekannt gegeben. Auch für Mac-User existiert also die Bedrohung, dass Daten auf ihren Rechnern von einer Ransomware verschlüsselt werden könnten. Die Geschichte zeigt aber wohl auch, dass die Wahrscheinlichkeit für sie aufgrund der von Apple implementierten Sicherheitsmechanismen deutlich geringer sein dürfte, als für Windows-User. Die akute Gefahr durch "Keranger" war nur kurz und auf User beschränkt, die am 4. oder 5. März ein Installationsprogramm der Version 2.90 für den Bit-Torrent-Client "Transmission" heruntergeladen haben.
 
Diese Installationsprogramme, die auf der offiziellen Website von Transmission zum Download angeboten wurden, waren mit einem Installationsprogramm für Keranger "angereichert". Dieses wiederum war mit einem gültigen Entwicklungszertifikat für Mac Apps signiert und konnte so die Gatekeeper-Funktion von Apple umgehen. Apple hat das Zertifikat aber nach der Warnung durch Palo Alto umgehend annulliert und die XProtect-Antiviren-Signaturen aktualisiert, so dass die Malware nun erkannt wird. Wie die Transmission-Dateien kompromittiert werden konnten, ist noch nicht klar. Palo Alto spekuliert, dass die Hacker die Website des Open-Source-Projekts kompromittieren konnten, konnte dies aber bisher noch nicht verifizieren. Transmission hat die infizierten Installationsprogramme am 5. März entfernt.
 
Kaspersky Labs hat zwar 2014 schon einmal eine Ransomware für OS X namens "FileCoder" beschrieben, diese Malware war aber zum Zeitpunkt ihrer Entdeckung noch nicht komplett. Die von Palo Alto "Keranger" genannte Malware dagegen funktioniert. Nach der Installation vergehen drei Tage, dann setzt sie sich über das Tor-Netzwerk mit Kommandoservern in Verbindung und beginnt anschliessend mit der Verschlüsselung bestimmter Files. Danach meldet sich die Malware beim User und fordert ein Bitcoin (gegenwärtig knapp 400 Franken) Lösegeld, um die Daten wieder freizugeben. Das Lösegeld soll über eine Seite im Tor-Netzwerk bezahlt werden. (hjm)