Erpresser-Software KeRanger infiziert Mac OS X
Sie wird mit der Installationsdatei des BitTorrent-Clients Transmission ausgeliefert. Der Herausgeber der Software verbreitet die Ransomware damit unfreiwillig über seine Website. Die fragliche Version 2.90 wurde mittlerweile gelöscht. KeRanger verlangt ein Lösegeld von knapp 400 Dollar.
Mac-Anwender, die vor kurzem den BitTorrent-Client Transmission heruntergeladen und auf ihr System gespielt haben, sind womöglich von der Erpresser-Software KeRanger befallen worden. Darauf verweist das Sicherheitsunternehmen Palo Alto Networks. Angreifer konnten demnach erfolgreich die auf der Website des Transmission-Projekts offerierten Installationsdateien der Version 2.90 manipulieren.
“Die KeRanger-Anwendung war mit einem gültigen Mac-App-Entwickler-Zertifikat signiert”, heißt es in einem Blogbeitrag von Palo Alto Networks. “Deswegen war sie in der Lage, Apples Gatekeeper-Schutz zu umgehen. Installiert ein Nutzer die infizierte App, wird eine eingebettete Datei ausgeführt. KeRanger wartet danach drei Tage, bis es sich über das Tor-Netzwerk mit einem Befehlsserver verbindet. Danach verschlüsselt die Malware bestimmte Arten von Dokumenten und Datendateien.”
Das Zertifikat ist allerdings nicht dasselbe, wie das mit dem frühere Versionen des BitTorrent-Clients verteilt wurden. Am 4. März sei es auf die Developer-ID “Polisan Boya Sanayi Ve Ticaret Anonim Sirketi”, ausgestellt worden, die offenbar einem türkischen Farbenhersteller gehört oder aber in dessen Namen beantragt wurde.
KeRanger verlange im Anschluss ein Lösegeld von einem Bitcoin (rund 400 Dollar), heißt es weiter in dem Blogbeitrag. Die Schadsoftware sei damit die erste voll funktionsfähige Ransomware für OS X.
Apple hat inzwischen das Entwicklerzertifikat zurückgezogen. Zudem aktualisierte es seinen Malware-Schutz XProtect, der nun KeRanger erkennen und entfernen kann. Das Transmission-Projekt weist auf seiner Website ebenfalls auf das Problem hin. Dort finden Betroffene die neue Version 2.92, die nicht nur frei von Schadsoftware ist, sondern auch in der Lage sein soll, KeRanger vollständig zu löschen.
Die schädliche Transmission-Version 2.90 wurde ab Freitagabend über einen Zeitraum von etwa 32 Stunden über die Website des Anbieters verbreitet. Betroffene Nutzer sollten prüfen, ob auf ihren Systemen in den Ordnern “Applications/Transmission.app/Contents/Resources” oder “Volumes/Transmission/Transmission.app/Contents/Resources die Datei “General.rtf” existiert. Paolo Alto beschreibt in seinem Blogeintrag auch, wie der zu KeRanger gehörende Systemprozess gestoppt und die Ransomware manuell gelöscht werden kann.
Im Februar war es Hackern gelungen, über die Website der Linux-Distribution Mint ISO-Dateien zu verteilen, die eine Backdoor enthielten. Betroffene schlossen sich unfreiwillig einem Botnet mit einigen Hundert infizierten Linux-Rechnern an. Als Einfallstor diente dem Hacker eine veraltete WordPress-Installation. Wie der manipulierte Installer auf die Website des Transmission-Projekts gelangte, ist indes nicht bekannt.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.