Erste Ransomware für OS X mit BitTorrent-Client «Transmission» verteilt

Ende vergangene Woche hat sich über eine bösartige Kopie des BitTorrent-Clients «Transmission» eine erste Ransomware für OS X auf Mac-Systemen verteilt. Wer den Client am Freitag oder Samstag heruntergeladen hat, könnte ein infiziertes System haben. Apple hat die Malware mittlerweile auf OS-X-Systemen mittels XProtect automatisch gesperrt.

Stefan Rechsteiner

Am Wochenende ist es wohl zur ersten «Ransomware» die speziell für Mac-Systeme entwickelt wurde gekommen. Über eine bösartige Kopie des BitTorrent-Client «Transmission» wurden Systeme infiziert.

Die Ransomware schlich sich über eine bösartige Kopie des BitTorrent-Clients «Transmission 2.90» auf entsprechende Systeme. Sobald der Client installiert war, führte die Software auch die beiliegende Malware «KeRanger» aus. Diese aktiviert nach einem 3-Tage-Countdown private Dateien und verlangt für die Freigabe dieser ein Lösegeld («Ransom») von 1 Bitcoin — aktuell etwa 400 US-Dollar.

Laut Sicherheitsexperten sind Ransomwares mittlerweile die Spitzenreiter digitaler krimineller Machenschaften. Besonders unter Windows und mobilen Plattformen (ausser iOS) sind Ransomware stark verbreitet. Vergangenen Juni beispielsweise wurden in den USA hunderte Opfer der Ransomware «CrptoWall» — laut dem FBI haben mindestens 992 Personen zusammen über 18 Millionen US-Dollar «Lösegeld» zahlen müssen, um ihre Daten nicht zu verlieren.

Entdeckt hatte die Ransomware die kalifornische Sicherheitsfirma «Palo Alto Networks». Diese informierten sowohl den Transmission-Hersteller wie auch Apple am Freitag, 4. März, über die bösartige Software.

Womöglich wurde die Webseite des Client-Anbieters kompromittiert, da sie die 2.90-Version der Software nicht mehr mittels HTTPS, sondern HTTP auslieferte.

Am Samstag reagierte der Hersteller mit einer «sauberen» 2.91-Version und einer Notiz an alle Nutzer die 2.90 installiert haben. Mit einer in der Nacht auf heute erschienenen abermals neuen 2.92-Version entfernt Transmission die Malware ganz von den infizierten Systemen.

Mittels XProtect gesperrt

In der Nacht auf heute hat auch Apple reagiert und «OSX.KeRanger.A» auf die XProtect-Liste gesetzt. Bei XProtect handelt es sich um eine Art in OS X integriertes automatisches Anti-Virus-System. KeRanger kann damit auf OS-X-Systemen nun nicht mehr ausgeführt werden.

Speziell ist, dass die KeRanger-Malware mit einem gültigen Apple-Entwickler-Zertifikat ausgestattet ist. Dadurch wurde die bösartige Software vom Sicherheitssystem «GateKeeper» von OS X nicht vom Ausführen gehindert. Apple hat das entsprechende Zertifikat mittlerweile annulliert.

Laut den Sicherheitsexperten von Palo Alto Networks dürften alle Systeme infiziert sein, bei denen ein Transmission-2.90-Installer ausgeführt wurde welcher am Freitag oder Samstag von der offiziellen Bezugsquelle heruntergeladen wurde, oder womöglich auch vorher oder noch danach von einer Drittplattform geladen wurden.

Gönner-Abo

Ab CHF 5.– im Monat

👉🏼 Wir benötigen deine Unterstützung! Unterstütze macprime mit einem freiwilligen Gönner-Abo und mache die Zukunft unseres unabhängigen Apple-Mediums aus der Schweiz mit möglich.

macprime unterstützen

1 Kommentar

Anmelden um neue Kommentare zu verfassen

Allegra Leser! Nur angemeldete Nutzer können bei diesem Inhalt Kommentare hinterlassen. Jetzt kostenlos registrieren oder mit bestehendem Benutzerprofil anmelden.