Open Source im professionellen Einsatz

Mac-Erpressersoftware analysiert

08.03.2016

Der europäische Security-Software-Hersteller ESET hat den ersten voll funktionstüchtigen Erpressungstrojaner für das Apple-Betriebssystem Mac OS X analysiert, der am Wochenende erstmals gesichtet wurde. Der KeRanger getaufte Filecoder wurde jetzt im Virenlabor in Bratislava einer umfassenden Untersuchung unterzogen.

397

Bisher hatten so genannte Erpressungstrojaner (auch Filecoder oder Ransomware genannt) nur Windows- und Android-Systeme im Visier. Das ändert sich jetzt. Nachdem kürzlich Locky mit tausenden Neu-Infektionen pro Stunde weltweit sein Unwesen trieb, rücken nun auch Apple-Kunden in den Fokus der Cyber-Kriminellen.

Die Schadsoftware KeRanger erreichte Mac-Nutzer über eine kompromittierte Version des BitTorrent-Clients „Transmission“, die zwischen dem 4. und 5. März zum Download bereitstand. Offenbar gelang es den Angreifern, die offizielle Website des Clients zu infiltrieren und die Installationsdateien mit dem Filecoder zu belegen. Daran tückisch: ein gültiges Entwicklerzertifikat sorgte dafür, dass die Apple-eigene Sicherheitsfunktion „Gatekeeper“ die Installation trotz Malware gewähren ließ. Die betroffene Transmission-Version hört auf die Versionsnummer 2.90. Mittlerweile haben die Entwickler des BitTorrent-Clients sowohl über die Software als auch über die Website eine Warnmeldung an alle Nutzer ausgegeben, die ein dringliches Update auf Version 2.91 empfiehlt.

Bei KeRanger handelt es sich um die erste voll funktionstüchtige Mac-Ransomware, die entdeckt wurde. Dank der schnellen Reaktion der Transmission-Entwickler verteilt sich die infizierte Installationsdatei nicht weiter, die Infektionsraten stagnieren wieder. Außerdem hat Apple mittlerweile das missbrauchte Zertifikat gesperrt, um weitere Installationen zu verhindern.

Die Analyse von ESET ergab, dass KeRanger nach der Ausführung der Installationsdateien drei Tage ins Land ziehen lässt, bis die Verschlüsselung von privaten Dateien angestoßen wird. Selbst wenn heute eine Infektion vorliegt, ist somit noch kein Schaden entstanden. Nach der Aktivierung verbindet sich KeRanger mit einer von sechs Seiten innerhalb des TOR-Netzwerkes, um von dort die Lösegeld-Forderung und den öffentlichen RSA Key zu laden. Die Verbindung zum TOR-Netzwerk wird über öffentliche TOR2WEB Gates hergestellt. Sobald KeRanger mit der Chiffrierung der Dateien in den Ordnern /Users und /Volumes beginnt, gibt es keinen Weg, um wieder an die verschlüsselten Daten zu kommen: Die Malware nutzt mit RSA-2048 und AES-256 Algorithmen, die nicht zu knacken sind.

Im ersten Schritt wählt die Malware einen zufälligen 256-Bit-Schlüssel für den AES-Algorithmus aus, verschlüsselt die Datei, um im Anschluss den AES-Schlüssel mit dem RSA-Algorithmus zu chiffrieren und abzulegen. Diese Vorgehensweise führt dazu, dass verschiedene Dateien auch unterschiedliche Verschlüsselungs-Keys besitzen. Die mit der Endung .encrypted versehen Daten sind verloren. KeRanger fordert im Anschluss nicht proaktiv eine Lösegeldzahlung ein, sondern weist in einer Textdatei darauf hin, die in jedem Ordner mit verschlüsselten Dateien abliegt. Darin wird zur Zahlung eines Bitcoins aufgefordert.

Ähnliche Artikel

comments powered by Disqus

Ausgabe 10/2016

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.