Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Gefährlicher neuer Verschlüsselungstrojaner: Mac-User sollten Vorsicht walten lassen

Wer auf seinem Mac ausschließlich Software aus dem Mac App Store nutzt, ist gemeinhin auf der sicheren Seite, denn Malware übersteht Apples Prüfung in aller Regel nicht. Allerdings installieren viele Mac-Nutzer auf ihrem Rechner auch Anwendungen, welche es nicht in Apples Software-Laden gibt. Die Gefahr, sich dabei Schadsoftware einzufangen, ist zwar gering, gänzlich ausgeschlossen ist das aber nicht, wie sich in der Vergangenheit immer wieder einmal zeigte. Seit einigen Tagen treibt nun ein neuer Verschlüsselungstrojaner sein Unwesen, der einige weitere böse Überraschungen bereithält.


Trojaner verbreitet sich über Raubkopien
Entdeckt wurde die Malware vor wenigen Tagen vom Sicherheitsforscher Dinesh Devadoss, der für das Unternehmen K7 Lab tätig ist. Er gab dem Verschlüsselungstrojaner den Namen "EvilQuest". Andere Experten wie etwa Patrick Wardle, Thomas Reed und Phil Stokes bestätigten einem Bericht von ZDNET zufolge die Existenz der Schadsoftware, welche bereits aktiv eingesetzt wird. Verbreitet wird sie zurzeit vornehmlich über entsprechend manipulierte Raubkopien von bekannten Apps. Devadoss entdeckte "EvilQuest" unter anderem in illegalen Versionen des beliebten Tools "Little Snitch" und der DJ-Software "Mixed". Ebenfalls enthalten war die Malware in einem angeblichen Paket namens "Google Software Update". Aktuell wird der Trojaner vorwiegend über Torrents verteilt, es ist allerdings damit zu rechnen, dass demnächst auch andere Verbreitungswege und zusätzliche raubkopierte Apps zum Einsatz kommen.


Quelle: Patrick Wardle

Mac lässt sich über das Internet kontrollieren
Laut der detaillierten Analyse von Patrick Wardle ist "EvilQuest" äußerst gefährlich. Der Trojaner beginnt unmittelbar nach der Installation damit, sämtliche Dateien zu verschlüsseln, welche er erreichen kann. Anschließend installiert die Malware automatisch einen Keylogger, der alle Tastenanschläge des Mac-Nutzers aufzeichnet. Darüber hinaus öffnet die Schadsoftware den Rechner zum Internet hin und erlaubt so dem Angreifer, beliebige Befehle auf dem System auszuführen. Zweck dieser Aktionen ist das Abgreifen von Dateien, welche im Zusammenhang mit Kryptowährungen stehen könnten, etwa "wallet.pdf", "wallet.png" oder Files mit der Endung ".p12".

Angreifer verlangen 50 US-Dollar
Für die Entschlüsselung der Dateien verlangen die Urheber des Trojaners 50 US-Dollar, diese sollen in Form von Bitcoins entrichtet werden. Die Zahlung muss einer Mitteilung des Trojaners zufolge innerhalb von 72 Stunden erfolgen, die Dechiffrierung der Files beginnt dann angeblich binnen zwei Stunden. Da viele Angreifer derartige Versprechen nicht einhalten, sollte man den geforderten Betrag jedoch auf keinen Fall zahlen. Betroffenen bleibt lediglich die Möglichkeit, ihr gesamtes System neu aufzusetzen und aus einem sauberen Backup wieder herzustellen.

Kommentare

DTP
DTP01.07.20 13:20
Deshalb, unbedingt dieses Tool hier installieren:
https://objective-see.com/products/ransomwhere.html
+4
Tomboman01.07.20 13:23
Ich hab irgendwo gelesen, dass unter Aktivitätsanzeige "CrashReporter" läuft

Da würde mich mal interessieren, was eigentlich CrashReporterSupportHelper ist, das läuft bei mir. Und nein, Software ist alles gekauft
+1
Tomboman01.07.20 13:25
DTP
Deshalb, unbedingt dieses Tool hier installieren:
https://objective-see.com/products/ransomwhere.html

Interessantes Tool, aber wenn es anzeigt "Festplatte wird verschlüsselt", kann man ja auch nicht wirklich was dagegen machen, oder?
+2
skipper01.07.20 13:26
Tomboman
DTP
Deshalb, unbedingt dieses Tool hier installieren:
https://objective-see.com/products/ransomwhere.html

Interessantes Tool, aber wenn es anzeigt "Festplatte wird verschlüsselt", kann man ja auch nicht wirklich was dagegen machen, oder?

Anscheinend wird einem ein Popup angezeigt, wo man den Prozess stoppen kann. Ich habe es nur überflogen.
+2
Tomboman01.07.20 13:30
skipper
Ach danke, jetzt hab ichs auch gefunden "Once installed, RansomWhere? will attempt to block any untrusted processes that are detected quickly creating encrypted files (a la ransomware). Specifically it will suspend the suspect process and alert the user. For example; here's the alert for the OS X ransomware KeRanger"
+1
teletower
teletower01.07.20 13:39
@ Marcel Bresink: Falls du hier mitlesen solltest - teilst du die Einschätzung ebenfalls als "Gefährlicher neuer Verschlüsselungstrojaner" ein wenn man laut ZDNET von "EVILQUEST IS DISTRIBUTED VIA PIRATED SOFTWARE" ausgeht? Ich frage aus Sicht eines Users ohne pirated s/w.
+1
rosss01.07.20 13:39
DTP
Deshalb, unbedingt dieses Tool hier installieren:
https://objective-see.com/products/ransomwhere.html

Und dazu noch den kleinen Bruder BlockBlock , der den Versuch meldet, einen daemon oder agent zu installieren – Patrick Wardle stellt wirklich feine Tools zur Verfügung. Danke!
Patricks Fazit aus seinem oben verlinkten Blog-Post
Conclusion
Today, we triaged an interesting piece of new malware - detailing its persistence, and capabilities.

Though new, our (free!) tools such as BlockBlock and RansomWhere? were able to detect and thwart various aspects of the attack …with no apriori knowledge!
+3
Plebejer
Plebejer01.07.20 13:41
rosss
DTP
Deshalb, unbedingt dieses Tool hier installieren:
https://objective-see.com/products/ransomwhere.html

Und dazu noch den kleinen Bruder BlockBlock , der den Versuch meldet, einen daemon oder agent zu installieren – Patrick Wardle stellt wirklich feine Tools zur Verfügung. Danke!

Um nur mal auf Lulu hinzuweisen.
+2
rosss01.07.20 13:45
Plebejer
Um nur mal auf Lulu hinzuweisen.

Dann braucht man auch keine pirated version of little snitch mehr.
0
Plebejer
Plebejer01.07.20 13:53
rosss
Plebejer
Um nur mal auf Lulu hinzuweisen.

Dann braucht man auch keine pirated version of little snitch mehr.

Was näher betrachtet eine Potenz von Böse ist, eine geknackte Version von LS zu nutzen.
+1
Nekron01.07.20 13:57
Kann man erwarten das Apple diesem Trojaner durch ein Update ein Ende bereiten kann?
-1
DTP
DTP01.07.20 14:06
Nekron
Kann man erwarten das Apple diesem Trojaner durch ein Update ein Ende bereiten kann?
Wahrscheinlich. Nur dauert das ja immer bis aktuelle Signaturen verfügbar und verteilt worden sind.

Das ist der Vorteil von RansomWhere, es berichtet dir VORAB jegliche Verschlüsselung. Natürlich auch legitime Verschlüsselungen. Und du entscheidest, was du damit machst (erlauben/verbieten).
+1
elBohu
elBohu01.07.20 14:08
DTP
Deshalb, unbedingt dieses Tool hier installieren:
https://objective-see.com/products/ransomwhere.html
Das erste, was ich gedacht habe bei dem Eintrag: haha, der war gut!
Aber es scheint ernst gemeint zu sein!
Die Beste art so einen Trojaner zu verbreiten ist, die Meldung raus zu knallen und als einen Beitrag einen Link für "Schutzsoftware" anzugeben.

Und alle fühlen sich gerettet.
wyrd bið ful aræd
+4
FlyingSloth01.07.20 14:11
Verschlüsselt EvilQuest nur den befallenen Mac oder macht der sich auch im LAN breit und befällt z.B. andere Macs oder Time Machine backups oder NAS Systeme?
+2
AJVienna01.07.20 14:31
elBohu
DTP
Deshalb, unbedingt dieses Tool hier installieren:
https://objective-see.com/products/ransomwhere.html
Das erste, was ich gedacht habe bei dem Eintrag: haha, der war gut!
Aber es scheint ernst gemeint zu sein!
Die Beste art so einen Trojaner zu verbreiten ist, die Meldung raus zu knallen und als einen Beitrag einen Link für "Schutzsoftware" anzugeben.

Und alle fühlen sich gerettet.
Das war auch mein erster Gedanke. Wenn ich an die vielen ihre Flash Version ist veraltet oder MacKeeper pop-ups denke. Da fangen sich die meisten erst das üble Zeug ein. Aber objective-see wirkt seriös auf den ersten Blick.
+1
Hot Mac
Hot Mac01.07.20 14:34
Krass, dass es Typen gibt, die nicht mal bereit sind, für Little Snitch Geld auszugeben.
Fahrraddiebe mit gestohlenen Bolzenschneidern ...
+25
DTP
DTP01.07.20 14:38
AJVienna
Aber objective-see wirkt seriös auf den ersten Blick.
Nicht nur auf den ersten Blick:
https://www.blackhat.com/us-19/presenters/Patrick-Wardle.htm l
https://www.rsaconference.com/experts/patrick-wardle
https://www.spiegel.de/netzwelt/gadgets/apple-hacker-patrick -wardle-ein-mac-ist-leicht-zu-hacken-a-1281361.html


Und irgendjemandem müsst ihr halt vertrauen.

Und selbst Apple hat ja schon Malware über den AppStore ausgeliefert.
+6
Landgraeber
Landgraeber01.07.20 15:03
Nekron
Kann man erwarten das Apple diesem Trojaner durch ein Update ein Ende bereiten kann?
Was soll Apple da machen? Wenn der User gecrackte Software installiert und die Installation mitgelieferter Malware durch Eingabe des Admin-Passworts explizit gestattet, hilft auch kein T2 Chip und sonstiges Gedöns mehr.

In diesen Fällen sitzt das grösste Sicherheitsproblem direkt vor dem Rechner.
Stay hungry, stay foolish.
+4
Hot Mac
Hot Mac01.07.20 15:03
Plebejer

Ich unterstelle gar nichts.
Gibt bestimmt auch Leute, die nur Little Snitch klauen, richtig teure Software aber bezahlen.
+1
gegy
gegy01.07.20 15:25
Ich finde es beängstigend, wenn man nun schon Tools installieren muss, damit Trojaner sich nicht am mac einnisten können. Beginnt jetzt die Zeit der Virenscanner auf dem mac? Ich hoffe mal nicht.
-3
sierkb01.07.20 15:39
gegy
Beginnt jetzt die Zeit der Virenscanner auf dem mac? Ich hoffe mal nicht.

Sie hat schon längst begonnen, existiert bereits seit Jahren – es wird Zeit, der Wahrheit ins Auge zu sehen und es endlich zu akzeptieren (wenn Apple es tut und seit Jahren entspr. in seinem Betriebssystem verbaut – ob es so, wie sie es tun und pflegen bzw. nicht pflegen, wirkungsvoll ist und alleine und ohne z.B. evtl. Unterstützung durch ggf. besser und weitersehende Zusatz-AV-Software oder Zusatz-Werkzeuge (obig das Eine oder Andere bereits genannt) ausreichend, sei mal dahingestellt – wir sehen ja die Ergebnisse –, können und sollten deren Nutzer es auch mal langsam akzeptieren, so schwer diese Akzeptanz der Realitäten dem Einen oder Anderen auch fallen mag):

Apple Support: Sicherheit der Apple-Plattformen
Schutz vor Malware: XProtect • Werkzeug zum Entfernen von Malware (MRT) Automatische Sicherheitsupdates
-2
Weia
Weia01.07.20 15:53
elBohu
Das erste, was ich gedacht habe bei dem Eintrag: haha, der war gut!
Aber es scheint ernst gemeint zu sein!
Die Beste art so einen Trojaner zu verbreiten ist, die Meldung raus zu knallen und als einen Beitrag einen Link für "Schutzsoftware" anzugeben.
Sorry, Du scheinst nicht zu wissen, wovon Du redest und verstehst offenkundig auch überhaupt nicht, wie die verlinkten Werkzeuge arbeiten.

Patrick Wardle, der hinter objective-see.com steckt, ist einer der weltweit renommierten Sicherheitsexperten für den Mac. Wenn Du dem nicht traust, dann ist Dir nicht zu helfen.

Faktenentlastetes Misstrauen gegen alles und jeden ist genauso naiv wie blindes Vertrauen.
Not every story must end with a battle (Ophelia, in der umwerfend guten feministischen Adaption des Hamlet-Stoffes in dem Film „Ophelia“)
+2
Plebejer
Plebejer01.07.20 16:04
Hot Mac
Plebejer

Ich unterstelle gar nichts.
Gibt bestimmt auch Leute, die nur Little Snitch klauen, richtig teure Software aber bezahlen.

Mann, bin ich blöd, ich verwende Lulu und sonst nur Software aus dem MacAppStore und Setapp.

EDIT: Sorry, Handbrake verschwiegen.
0
Weia
Weia01.07.20 16:08
sierkb
gegy
Beginnt jetzt die Zeit der Virenscanner auf dem mac? Ich hoffe mal nicht.
Sie hat schon längst begonnen, existiert bereits seit Jahren – es wird Zeit, der Wahrheit ins Auge zu sehen
Die Wahrheit ist aber, dass es zwar seit Jahren Virenscanner auf dem Mac gibt, sie aber kein Mensch braucht, der gesunden Menschenverstand walten lässt bei dem, was er sich herunterlädt.

Software wie die von Objective-See kann für die, die sich auf ihrem Mac nicht sonderlich auskennen, sicherlich hilfreich sein, um die üblichen Verdächtigen (launch items, aktive Hintergrundprozesse) im Blick zu behalten. Aber das sind ja keine Virenscanner im üblichen Sinne, die immer auch Probleme bereiten können.
Not every story must end with a battle (Ophelia, in der umwerfend guten feministischen Adaption des Hamlet-Stoffes in dem Film „Ophelia“)
+3
Hot Mac
Hot Mac01.07.20 16:12
Plebejer
Hot Mac
Plebejer

Ich unterstelle gar nichts.
Gibt bestimmt auch Leute, die nur Little Snitch klauen, richtig teure Software aber bezahlen.

Mann, bin ich blöd, ich verwende Lulu und sonst nur Software aus dem MacAppStore und Setapp.

EDIT: Sorry, Handbrake verschwiegen.
Ich bezog mich auf den Beitrag, den Du im Nachhinein gelöscht hast und das weißt Du auch ganz genau.
+4
Weia
Weia01.07.20 16:24
MacTechNews
Wer auf seinem Mac ausschließlich Software aus dem Mac App Store nutzt, ist gemeinhin auf der sicheren Seite, denn Malware übersteht Apples Prüfung in aller Regel nicht. Allerdings installieren viele Mac-Nutzer auf ihrem Rechner auch Anwendungen, welche es nicht in Apples Software-Laden gibt. Die Gefahr, sich dabei Schadsoftware einzufangen, ist zwar gering, gänzlich ausgeschlossen ist das aber nicht, wie sich in der Vergangenheit immer wieder einmal zeigte. Seit einigen Tagen treibt nun ein neuer Verschlüsselungstrojaner sein Unwesen, der einige weitere böse Überraschungen bereithält.
Das finde ich eine sehr tendenziöse Darstellung zugunsten des App-Stores.

Software, die man direkt auf der Website eines renommierten Herstellers kauft, ist ganz sicher kein Gran gefährlicher als Software aus dem App-Store, eher im Gegenteil.

Wenn ich Affinity Photo auf der Website von Affinity kaufe, gehe ich ganz bestimmt kein größeres Risiko ein, als wenn ich das Programm im App Store kaufe. Ich vermeide aber, dass dem Hersteller 30% vom Erlös abgezogen werden und schiebe einer zu großen Abhängigkeit von Apple einen gewissen Riegel vor.

Der App Store steht ja nicht ohne Grund aus wettbewerbsrechtlicher Sicht in der Kritik.

So wie das hier formuliert wird, wird jegliche Software (Open Source inklusive), die nicht aus dem App Store bezogen wird, in die Nähe von Software aus dubiosen Quellen und mit dubiosen Funktionen gerückt. Das finde ich nicht in Ordnung.

Eine Schadsoftware wie EvilQuest zieht man sich ganz sicher nicht durch regulären Kauf von Software bei einem bekannten Dritthersteller oder gar Nutzung renommierter Open-Source-Software zu, sondern, indem man sich zum Download von irgendwas angepriesenem Kostenlosem bis Illegalen hinreißen lässt.
Not every story must end with a battle (Ophelia, in der umwerfend guten feministischen Adaption des Hamlet-Stoffes in dem Film „Ophelia“)
+5
DTP
DTP01.07.20 16:31
Weia
MacTechNews
Wer auf seinem Mac ausschließlich Software aus dem Mac App Store nutzt, ist gemeinhin auf der sicheren Seite, denn Malware übersteht Apples Prüfung in aller Regel nicht.
Das finde ich eine sehr tendenziöse Darstellung zugunsten des App-Stores.
…und die Darstellung ist auch falsch, es gab Beispiele für Malware aus dem Mac App Store; z.B.:

"A number of apps in the Mac App Store have been found to be stealing data from its users, acquiring sensitive information and sending it to the developer, including one app which was the top paid utility available in the store before its removal.

Security researchers have independently found apps "exfiltrating" data to servers without the user's knowledge, all of which were available to download from Apple's Mac App Store. Each of the apps managed to get past Apple's submission process for the store and were available to download alongside other legitimate apps.

MalwareBytes reports that, in some cases, the data is dispatched to servers in China, a country that doesn't require the same stringent storage requirements as the United States or European countries for personal data. In cases like these, it is highly likely the data is being used for malicious purposes."

https://appleinsider.com/articles/18/09/07/more-malicious-ap ps-found-in-mac-app-store-that-are-stealing-user-data
+2
Troubadixderdritte01.07.20 16:37
elBohu
DTP
Deshalb, unbedingt dieses Tool hier installieren:

Das erste, was ich gedacht habe bei dem Eintrag: haha, der war gut!
Aber es scheint ernst gemeint zu sein!
Die Beste art so einen Trojaner zu verbreiten ist, die Meldung raus zu knallen und als einen Beitrag einen Link für "Schutzsoftware" anzugeben.

Und alle fühlen sich gerettet.

Also ich verwende RansomWhere schon seit einiger Zeit und mein Rechner wurde bisher nur von mir verschlüsselt. Das kleine Programm warnt zuverlässig, z.B. bei Installationsprozessen, wenn Dateien verschlüsselt werden. Der Prozess wird so lange gestoppt, bis man ihn freigibt. Gute Sache.
+1
Al Boland
Al Boland01.07.20 16:46
Troubadixderdritte

Kurze Frage dazu, läuft der Prozess von Ransom Where auch nach einem Neustart? Konnte nichts in der Aktivitätsanzeige finden...
Nom de dieu de putain de bordel de merde de saloperies de connards d'enculés de ta mère. Sehen Sie, es ist, als ob man sich den Arsch mit Seide abwischt.
0
sierkb01.07.20 16:50
Weia
sierkb
gegy
Beginnt jetzt die Zeit der Virenscanner auf dem mac? Ich hoffe mal nicht.
Sie hat schon längst begonnen, existiert bereits seit Jahren – es wird Zeit, der Wahrheit ins Auge zu sehen
Die Wahrheit ist aber, dass es zwar seit Jahren Virenscanner auf dem Mac gibt, sie aber kein Mensch braucht, der gesunden Menschenverstand walten lässt bei dem, was er sich herunterlädt.

Die von Dir gefühlte und gewünschte Wahrheit, oder die tatsächliche Wahrheit?

U.a. Patrick Wardle widerspricht Dir da, dass das ausreicht. Auch Apple widerspricht Dir da durchaus, dass das ausreicht (sonst würden sie sowas nicht verbauen, und sonst hätten sie nicht zuvor jahrelang in ihren verbuddelten Mac OS X Security Guidelines u.a. davon gesprochen, das zusätzliche und als Ergänzung installierte AV-Software von Drittanbietern durchaus von Nutzen und empfehlenswert sein kann)
Software wie die von Objective-See kann für die, die sich auf ihrem Mac nicht sonderlich auskennen, sicherlich hilfreich sein, um die üblichen Verdächtigen (launch items, aktive Hintergrundprozesse) im Blick zu behalten. Aber das sind ja keine Virenscanner

Behauptet auch niemand.
Zumal Apple durchaus das eine oder andere Mal auf Findungen undVerlautbarungen von Patrick Wardle gehört hat und bestimmte Dinge, die er bemängelte, verbessert hat.
An Apples eingezogenen Sicherheitslinien, XProtect und MRT.app im Besonderen, und wie Apple die vernachlässigt, lässt er eh und je kein gutes Haar, die belächelt er nur ob ihrer Wirksamkeit und wie Apple sie schleifen lässt – u.a. das lässt soviel Raum, unerkannt darunter durchzuschlüpfen.
Virenscanner im üblichen Sinne

Apples in macOS seit Jahren verbautes XProtect und Malware Removal Tool ist technisch gesehen ein Virenscanner im üblichen Sinne, beides funktioniert exakt so, wie andere diesbzgl. AV-Scanner auch (signaturbasiert, YARA-basiert), nur auf einem viel niedrigeren Wissens- und Pflegestand seitens Apple (steht und fällt mit der Anzahl und Pflege der Signaturen) – und genau das ist der Pferdefuß: würde Apple es nämlich besser pflegen, wäre tatsächlich kein Bedarf nach zusätzlicher AV-Software, weil XProtect und das darauf basierende Quarantäne-Framework und das ebenso darauf basierende MRT.app bzw. dessen MRT-Framework ihren Job besser und zuverlässiger und gründlicher erledigen würden, was sie leider eben nicht tun.
+3
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.