Ransomware: Erpressersoftware verbreitet sich über Raubkopien auf Macs

Neue Mac-Ransomware, also Software zur Erpressung von Nutzer/innen, verbreitet sich derzeit über raubkopierte Apps, die u. a. auf russischen Plattformen angeboten werden. Das berichten zum Beispiel Malwarebytes (hier) und Patrick Wardle auf der Objective-See Website (hier). Die neue Erpressersoftware wurde erst als „EvilQuest“ bezeichnet, um Verwechslungen vorzubeugen ist man dann aber zu „OSX.ThiefQuest“ übergegangen. Das Besondere an der neuen Ransomware, die Apple-Computer infizieren kann: ihr Skript verbirgt sich in zertifizierten Installer-Dateien, die sowohl Nutzer/innen als auch dem Mac Authentizität vorgaukeln. Als Beispiele für gecrackte Apps, die OSX.ThiefQuest mitbringen, werden „Little Snitch“ und „Mixed in Key“ genannt.

Die Ransomware OSX.ThiefQuest kommt auf den Apple Mac, wenn man sich raubkopierte Apps aus bestimmten Portalen lädt. Was hinter der Erpressersoftware steckt, das lest ihr hier.

Die Ransomware OSX.ThiefQuest kommt auf den Apple Mac, wenn man sich raubkopierte Apps aus bestimmten Portalen lädt. Was hinter der Erpressersoftware steckt, das lest ihr hier.

OSX.ThiefQuest – Falsche Installer mit Ransomware-Skript

Ich werde hier im Blog nicht müde zu sagen, dass ihr Apps nur aus dem Mac App Store oder direkt bei den Entwickler/innen herunterladen sollt. Es ist nicht zu empfehlen, Software-Portale zu nutzen, die euch die Apps über unnötige Installer mit Zusatzsoftware, Malware und Co. anbieten. Erst recht ist es nicht zu empfehlen, raubkopierte Programme von dubiosen Webseiten herunterzuladen. Nicht nur ist das illegal und schadet den Entwickler/innen, es bringt auch Gefahren mit, die das ungeübte Auge nicht erkennt.

So berichtet zum Beispiel Malwarebytes in dem oben verlinkten Blog-Beitrag, dass der für die Analyse heruntergeladene Installer für die raubkopierte Version von Little Snitch schon beim Entpacken auffällig aussah. Nicht nur kam er sinnloser Weise in einem Disk-Image daher, er war auch mit einem generischen Paket-Symbol versehen, wo die offizielle Version von Little Snitch doch mit einem ansehnlich designten Icon aufwarten kann:

Analysis of this installer showed that there was definitely something strange going on. To start, the legitimate Little Snitch installer is attractively and professionally packaged, with a well-made custom installer that is properly code signed. However, this installer was a simple Apple installer package with a generic icon. Worse, the installer package was pointlessly distributed inside a disk image file.

Mein Tipp: Backups schützen vor Ransomware-Folgen

Das macht die Raubkopie-Schadsoftware am Mac

Auch Patrick Wardle analysiert auf der Objective-See Website anschaulich die vermeintlichen Installer sowie die damit aufs System gelangende Ransomware. Diese bringen sogar einen Schutz gegen die Analyse mit, den der Profi aber natürlich erkannt hat und umgehen konnte. Zudem wird aufgezeigt, wie und in welchem Maße die Daten auf der Mac-Festplatte verschlüsselt werden sollen, um von Nutzer/innen Geld für die Herausgabe bzw. die Entschlüsselung zu erpressen. Der Output der Schadsoftware ist dann dieser:

Many of your documents, photos, videos, images and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your file without our decryption service.
We use 256-bit AES algorithm so it will take you more than a billion years to break this encryption without knowing the key (you can read Wikipedia about AES if you don’t believe this statement).
Anyways, we guarantee that you can recover your files safely and easily. This will require us to use some processing power, electricity and storage on our side, so there’s a fixed processing fee of 50 USD. This is a one-time payment, no additional fees included.
In order to accept this offer, you have to deposit payment within 72 hours (3 days) after receiving this message, otherwise this offer will expire and you will lose your files forever.
Payment has to be deposited in Bitcoin based on Bitcoin/USD exchange rate at the moment of payment. The address you have to make payment is:
[…]
Decryption will start automatically within 2 hours after the payment has been processed and will take from 2 to 5 hours depending on the processing power of your computer. After that all of your files will be restored.
THIS OFFER IS VALID FOR 72 HOURS AFTER RECEIVING THIS MESSAGE

Muss man sich gegen Mac-Ransomware schützen?

Bei der ersten Quelle handelt es sich um Malwarebytes, also einen Anbieter für Schutzsoftware, die ähnlich einer Antivirus-App funktioniert. Nur dass sie neben Viren auch andere Skripte und Malware findet (Trojaner, Adware, etc.). Auf der Objective-See-Webseite findet ihr mit „BlockBlock“ und „RansomWhere?“ zwei kostenlose Programme, welche in der Zusammenfassung des verlinkten Beitrags damit beworben werden, dass sie OSX.ThiefQuest sogar erkannt haben, obwohl sie mit dieser Art Ransomware noch gar nicht vertraut waren. 

Aber benötigt man als „normale/r“ Nutzer/in diese Software? Nicht, wenn man auf legalen Wegen durchs Netz streift. Wer aus Recherche-Zwecken mal hier mal da komische Sachen laden muss, um das Tech-Blog, das Fachmagazin oder die Sicherheitsforschung im Unternehmen zu bestücken, kann und sollte natürlich Sicherheitsvorkehrungen treffen. Was meint ihr zum Thema und wie ist euer Vorgehen? Bleibt ihr hinsichtlich Downloads strikt bei offiziellen Quellen oder streift ihr abseits der Pfade und benötigt deshalb Schutzsoftware? Lasst gern einen Kommentar da 😉


Aktueller RAMPOW Deal: über 40% Rabatt auf das USB-C auf Lightning-Kabel bei Amazon. Dazu den Code CKRYHHV4 bei der Kasse eintragen. Gültig bis 27.7.2020.

2 Kommentare

  1. W. Wiegmann sagt:

    Hallo
    Mac-Software nur aus dem App-Store? Wie soll das gehen? Es gibt doch diverse legale Software die direkt vertrieben wird. Irre ich mich oder ist die Sache sowieso nicht so schlimm, wenn man eine Sicherungskopie hat? Ich z.B. spiegle täglich mit CCC meine gesamte Festplatte auf einer externe, zusätzlich nutze ich Time–Machine. Wenn mich Jemand erpressen sollte würde ich die interne Festplatte sofort komplett löschen und die Kopien benutzen. Bleibt dann noch ein Risiko?

    • Sir Apfelot sagt:

      Hallo! Ja, nur aus dem App-Store ist schwer. Deshalb steht im Artikel auch "oder direkt beim Entwickler bzw. der Entwicklerin". Die Backups sind im Prinzip schon seht gut, aber sobald die Backups am Mac hängen und die Malware aktiv ist, kann sie auch die Backups verändern. Daher würd eich zum Beispiel das 1:1 Backup mit CCC immer abstecken, wenn es fertig ist. So kann keine Software daran manipulieren… LG!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Alle News 1x pro Woche

Du magst die Artikel auf Sir Apfelot?
Dann trage dich in meinen wöchentlichen Newsletter ein.