Ransomware: Erpressersoftware verbreitet sich über Raubkopien auf Macs

Neue Mac-Ransomware, also Software zur Erpressung von Nutzer/innen, verbreitet sich derzeit über raubkopierte Apps, die u. a. auf russischen Plattformen angeboten werden. Das berichten zum Beispiel Malwarebytes (hier) und Patrick Wardle auf der Objective-See Website (hier). Die neue Erpressersoftware wurde erst als „EvilQuest“ bezeichnet, um Verwechslungen vorzubeugen ist man dann aber zu „OSX.ThiefQuest“ übergegangen. Das Besondere an der neuen Ransomware, die Apple-Computer infizieren kann: ihr Skript verbirgt sich in zertifizierten Installer-Dateien, die sowohl Nutzer/innen als auch dem Mac Authentizität vorgaukeln. Als Beispiele für gecrackte Apps, die OSX.ThiefQuest mitbringen, werden „Little Snitch“ und „Mixed in Key“ genannt.

OSX.ThiefQuest – Falsche Installer mit Ransomware-Skript

Ich werde hier im Blog nicht müde zu sagen, dass ihr Apps nur aus dem Mac App Store oder direkt bei den Entwickler/innen herunterladen sollt. Es ist nicht zu empfehlen, Software-Portale zu nutzen, die euch die Apps über unnötige Installer mit Zusatzsoftware, Malware und Co. anbieten. Erst recht ist es nicht zu empfehlen, raubkopierte Programme von dubiosen Webseiten herunterzuladen. Nicht nur ist das illegal und schadet den Entwickler/innen, es bringt auch Gefahren mit, die das ungeübte Auge nicht erkennt.

So berichtet zum Beispiel Malwarebytes in dem oben verlinkten Blog-Beitrag, dass der für die Analyse heruntergeladene Installer für die raubkopierte Version von Little Snitch schon beim Entpacken auffällig aussah. Nicht nur kam er sinnloser Weise in einem Disk-Image daher, er war auch mit einem generischen Paket-Symbol versehen, wo die offizielle Version von Little Snitch doch mit einem ansehnlich designten Icon aufwarten kann:

Analysis of this installer showed that there was definitely something strange going on. To start, the legitimate Little Snitch installer is attractively and professionally packaged, with a well-made custom installer that is properly code signed. However, this installer was a simple Apple installer package with a generic icon. Worse, the installer package was pointlessly distributed inside a disk image file.

Mein Tipp: Backups schützen vor Ransomware-Folgen

Das macht die Raubkopie-Schadsoftware am Mac

Auch Patrick Wardle analysiert auf der Objective-See Website anschaulich die vermeintlichen Installer sowie die damit aufs System gelangende Ransomware. Diese bringen sogar einen Schutz gegen die Analyse mit, den der Profi aber natürlich erkannt hat und umgehen konnte. Zudem wird aufgezeigt, wie und in welchem Maße die Daten auf der Mac-Festplatte verschlüsselt werden sollen, um von Nutzer/innen Geld für die Herausgabe bzw. die Entschlüsselung zu erpressen. Der Output der Schadsoftware ist dann dieser:

Many of your documents, photos, videos, images and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your file without our decryption service.
We use 256-bit AES algorithm so it will take you more than a billion years to break this encryption without knowing the key (you can read Wikipedia about AES if you don’t believe this statement).
Anyways, we guarantee that you can recover your files safely and easily. This will require us to use some processing power, electricity and storage on our side, so there’s a fixed processing fee of 50 USD. This is a one-time payment, no additional fees included.
In order to accept this offer, you have to deposit payment within 72 hours (3 days) after receiving this message, otherwise this offer will expire and you will lose your files forever.
Payment has to be deposited in Bitcoin based on Bitcoin/USD exchange rate at the moment of payment. The address you have to make payment is:
[…]
Decryption will start automatically within 2 hours after the payment has been processed and will take from 2 to 5 hours depending on the processing power of your computer. After that all of your files will be restored.
THIS OFFER IS VALID FOR 72 HOURS AFTER RECEIVING THIS MESSAGE

Muss man sich gegen Mac-Ransomware schützen?

Bei der ersten Quelle handelt es sich um Malwarebytes, also einen Anbieter für Schutzsoftware, die ähnlich einer Antivirus-App funktioniert. Nur dass sie neben Viren auch andere Skripte und Malware findet (Trojaner, Adware, etc.). Auf der Objective-See-Webseite findet ihr mit „BlockBlock“ und „RansomWhere?“ zwei kostenlose Programme, welche in der Zusammenfassung des verlinkten Beitrags damit beworben werden, dass sie OSX.ThiefQuest sogar erkannt haben, obwohl sie mit dieser Art Ransomware noch gar nicht vertraut waren. 

Aber benötigt man als „normale/r“ Nutzer/in diese Software? Nicht, wenn man auf legalen Wegen durchs Netz streift. Wer aus Recherche-Zwecken mal hier mal da komische Sachen laden muss, um das Tech-Blog, das Fachmagazin oder die Sicherheitsforschung im Unternehmen zu bestücken, kann und sollte natürlich Sicherheitsvorkehrungen treffen. Was meint ihr zum Thema und wie ist euer Vorgehen? Bleibt ihr hinsichtlich Downloads strikt bei offiziellen Quellen oder streift ihr abseits der Pfade und benötigt deshalb Schutzsoftware? Lasst gern einen Kommentar da ;)

Jens Kleinholz( Gründer & Sir Apfelot )

Jens betreibt das Blog seit 2012. Er tritt für seine Leser als Sir Apfelot auf und hilft ihnen bei Problemen technischer Natur. Er fährt in seiner Freizeit elektrische Einräder, fotografiert (natürlich am liebsten mit dem iPhone), klettert in den hessischen Bergen rum oder wandert mit der Familie. Seine Artikel beschäftigen sich mit Apple Produkten, Neuigkeiten aus der Welt der Drohnen oder mit Lösungen für aktuelle Bugs.