Gefährliche Erpressersoftware gegen Apple-Kunden entdeckt
Palo Alto Networks identifiziert erste erfolgreiche Ransomware-Kampagne gegen Mac-Nutzer
7. März 2016 – Am Wochenende waren Apple-Nutzer von der ersten Ransoware-Kampagne gegen Macintosh-Computer betroffen. Palo Alto Networks hat am Freitagabend entdeckt, dass zwei Installationsprogramme von Transmission mit Ransomware infiziert sind. Das Open-Source-Projekt stellt BitTorrent-Client-Installationsprogramme für OS X zur Verfügung. Die Entdeckung erfolgte nur wenige Stunden, nachdem die Installationssoftware erstmals verfügbar war. Palo Alto Networks hat diese Ransomware „KeRanger“ benannt.
Die einzige zuvor bekannte Ransomware für OS X war FileCoder, entdeckt im Jahr 2014. Da FileCoder zum Zeitpunkt ihrer Entdeckung unvollständig war, dürfte KeRanger die erste voll funktionsfähige Ransomware, die auf die OS X-Plattform abzielt, sein. Es ist möglich dass die offizielle Website von Transmission kompromittiert wurde und Dateien durch manipulierte, bösartige Versionen ausgetauscht worden sind. Palo Alto Networks kann dies derzeit nicht bestästigen.
Die KeRanger-Applikation war mit einem gültigen Entwicklungszertifikat für Mac Apps signiert und konnte so die Gatekeeper-Funktion von Apple umgehen. Wenn ein Benutzer die infizierten Apps installiert, kommt eine eingebettete ausführbare Datei auf dem System zum Einsatz. KeRanger wartet dann drei Tage, um sich mit den C2-Servern über das für anonyme Aktivitäten beliebte Tor-Netzwerk zu verbinden. Die Malware beginnt dann bestimmte Arten von Dokumenten und Dateien auf dem System zu verschlüsseln. Nachdem der Verschlüsselungsvorgang abgeschlossen ist, fordert KeRanger von den Opfern ein Bitcoin (ca. 370 Euro), um die Dateien zu entschlüsseln. Die Zahlung des Lösegelds erfolgt über eine spezielle Website im Tor-Netzwerk. KeRanger scheint sich noch in der aktiven Entwicklungsphase zu befinden. Die Malware versucht offensichtlich auch, Time-Machine-Dateien zu verschlüsseln, um zu verhindern, dass sich Opfer ihre Daten aus dem Backup wiederherstellen.
Apple hat zwischenzeitlich das missbrauchte Zertifikat widerrufen und die XProtect-Antiviren-Signatur aktualisiert. Ebenso hat Transmission Project die bösartigen Installationsprogramme von seiner Website entfernt. Palo Alto Networks hat seinen URL-Filter und Threat Prevention aktualisiert, um die Auswirkungen durch KeRanger auf Mac-Systeme zu unterbinden.
Benutzer, die zwischen 4. März, 20.00 Uhr, und 5. März, 4.00 Uhr, Transmission-Installationsprogramme von der offiziellen Website heruntergeladen haben, könnten durch KeRanger infiziert worden sein. Wenn die Installationsprogramme früher heruntergeladen oder von Drittanbieter-Websites heruntergeladen wurden, schlägt Palo Alto Networks den Benutzern ebenfalls vor, die folgenden Sicherheitsüberprüfungen durchführen. Benutzer älterer Versionen von Transmission scheinen nicht betroffen zu sein.
1. Überprüfen Sie mittels Terminal oder Finder, ob /Applications/Transmission.app/Contents/Resources/ General.rtf oder /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf existieren. Wenn einer dieser Fälle zutrifft, ist die Transmission-Anwendung infiziert und diese Version sollte daher gelöscht werden.
2. Mittels „Activity Monitor“, vorinstalliert in OS X, überprüfen Sie, ob ein Prozess namens kernel_service läuft. Wenn ja, überprüfen Sie den Prozess, wählen Sie die „Open Files and Ports“ ( (Öffnen von Dateien und Ports) und prüfen Sie, ob ein Dateiname /Users/<username>/Library/kernel_service vorhanden ist. Wenn ja, ist dies der KeRanger-Hauptprozess. Diesen gilt es mit „Quit -> Force Quit“ sofort zu beenden.
3. Nach diesen Schritten wird Benutzern euch empfohlen, zu überprüfen, ob die Dateien .kernel_pid, .kernel_time, .kernel_complete oder kernel_service im ~/Library-Verzeichnis vorhanden sind. Wenn ja, sollten diese ebenfalls gelöscht werden.
Da Apple die manipulierten Zertifikate widerrufen und XProtect-Signaturen aktualisiert hat, erscheint eine Warnmeldung, wenn ein Benutzer versucht, eine bekannte infizierte Version von Transmission zu öffnen. Palo Alto Networks empfiehlt in diesem Fall, Apples Anweisungen zu folgen, um Malware-Aktivitäten zu vermeiden.
