Neue Mac-Ransomware in raubkopierter Software versteckt

Sicherheitsforscher warnen vor neuer Mac-Lösegeld-Software, die über raubkopierte Software auf Torrent- und ähnlichen Websites verbreitet wird.

Thomas Reed, Direktor von Malwarebytes für Mac und Mobile, erklärte, dass die EvilQuest-Malware jetzt den Namen „OSX.ThiefQuest“ trägt, um Verwechslungen mit einem Gaming-Titel aus dem Jahr 2012 zu vermeiden.

Er wurde zuerst auf die Lösegeld-Malware aufmerksam gemacht, die in einer legitim aussehenden Ausgabe der MacOS-Firewall Little Snitch versteckt war und auf eine russische Torrent-Site hochgeladen wurde. Später wurde sie jedoch in einem Installationsprogramm für DJ-Software Mixed In Key 8 gefunden und wird „zweifellos“ in anderer Raubkopie-Software versteckt sein, behauptete Reed.

„Die Malware war jedoch nicht besonders schlau, welche Dateien sie verschlüsselte“, fuhr er fort. „Es schien eine Reihe von Einstellungsdateien und andere Datendateien, wie zum Beispiel die Schlüsselbund-Dateien, zu verschlüsseln. Dies führte beim Einloggen nach der Verschlüsselung zu einer Fehlermeldung.“

Andere Forscher haben darauf hingewiesen, dass die Lösegeldforderung aufgrund von Anrufen beim Systemrouting CGEventTapCreate auch einen Keylogger enthält und sogar alle mit der Kryptowährung zusammenhängenden Wallet-Dateien stiehlt, die sie findet. Die Malware öffnet auch eine Reverse Shell, um mit einem Command and Control (C&C)-Server zu kommunizieren, erklärte Reed.

Nach Abschluss des Vorgangs verlangt die Popup-Meldung vom Opfer 50 Dollar, um seine Dateien wiederherzustellen. Bis jetzt gibt es noch keinen Entschlüsselungskey, obwohl Reed sagte, dass Forscher daran arbeiten zu verstehen, welche Art von Verschlüsselung die Malware verwendet und ob sie geknackt werden kann, wie die FindZip Mac-Variante.

In der Zwischenzeit empfahl er Best-Practice-Backups und effektive AV als Hauptmittel zur Eindämmung der Bedrohung.

„Der beste Weg, die Folgen von Lösegeldforderungen zu vermeiden, ist ein gutes Backup. Bewahren Sie mindestens zwei Sicherungskopien von allen wichtigen Daten auf, und mindestens eine sollte nicht ständig am Mac angeschlossen sein (Lösegeldsoftware kann versuchen, Backups auf angeschlossenen Laufwerken zu verschlüsseln oder zu beschädigen)“, schloss Reed.

„Ich persönlich habe mehrere Festplatten für Backups. Ich verwende Time Machine, um ein paar zu verwalten, und Carbon Copy Cloner, um noch ein paar weitere zu verwalten. Eine der Sicherungen befindet sich immer im Bankschließfach, und ich tausche sie regelmäßig aus, so dass ich im schlimmsten Fall immer relativ aktuelle Daten an einem sicheren Ort gespeichert habe.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.