Erste Ransomware für OS X rund 6500-mal heruntergeladen

Die erste bekannt gewordene Ransomware für Apples Betriebssystem OS X ist rund 6500-mal heruntergeladen worden. Das sagte John Clay vom Projekt Transmission der Agentur Reuters. Der Bittorrent-Client Transmisson, genauer die Version 2.90, war für die Verteilung des Schadprogramms genutzt worden. Sie stand etwa 32 Stunden lang zum Download bereit.

Das Erpresserprogramm fand sich in einem Disk-Image der Software. Clay führte gegenüber der Agentur aus: „Wir kommentieren nicht, welchen Weg die Angreifer eingeschlagen haben, können aber sagen, dass unser Hauptserver kompromittiert wurde. Das normale Disk-Image wurde durch das kompromittierte ersetzt.“

Seit dem Vorfall sei „die Sicherheit des Servers erhöht“ worden, heißt es noch. Das Transmission-Projekt stehe in Kontakt mit Apple und auch mit dem Sicherheitsteam von Palo Alto Networks, das die Ransomware aufspürte.

Die Malware namens KeRanger verlangt laut Palo Alto Networks ein Lösegeld von einer Bitcoin (rund 400 Dollar). Sie war mit einem gültigen Mac-App-Entwickler-Zertifikat signiert und dadurch in der Lage, Apples Gatekeeper-Schutz zu umgehen. Das Zertifikat entspricht jedoch nicht dem bei Transmission üblichen. Vielmehr ist es am 4. März auf die Developer-ID „Polisan Boya Sanayi Ve Ticaret Anonim Sirketi“ ausgestellt worden, die offenbar einem türkischen Farbenhersteller gehört oder aber in dessen Namen beantragt wurde.

Weiter teilten die Sicherheitsforscher mit: „Installiert ein Nutzer die infizierte App, wird eine eingebettete Datei ausgeführt. KeRanger wartet danach drei Tage, bis es sich über das Tor-Netzwerk mit einem Kommandoserver verbindet. Danach verschlüsselt die Malware bestimmte Arten von Dokumenten und Datendateien.“

Nach Bekanntwerden des Angriffs zog Apple das Entwicklerzertifikat zurück und aktualisierte seinen Malware-Schutz XProtect, der nun KeRanger erkennt und entfernt. Das Transmission-Projekt aktualisierte sobald möglich auf Version 2.92, die nicht nur frei von Schadsoftware ist, sondern auch in der Lage sein soll, KeRanger vollständig zu löschen.

Eventuell betroffene Nutzer sollten prüfen, ob auf ihren Systemen in den Ordnern Applications/Transmission.app/Contents/Resources oder Volumes/Transmission/Transmission.app/Contents/Resources eine Datei namens General.rtf existiert. Palo Alto beschreibt in seinem Blogeintrag auch, wie der zu KeRanger gehörende Systemprozess gestoppt und die Ransomware manuell gelöscht werden kann.

Im Februar war es Hackern gelungen, über die Website der Linux-Distribution Mint ISO-Dateien zu verteilen, die eine Backdoor enthielten. Betroffene schlossen sich unfreiwillig einem Botnet mit einigen Hundert infizierten Linux-Rechnern an. Als Einfallstor diente dem Hacker eine veraltete WordPress-Installation. Wie der manipulierte Installer auf die Website des Transmission-Projekts gelangte, ist indes nicht bekannt.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.