ifun.de — Apple News seit 2001. 22 305 Artikel
„Malware als Dienstleistung“

Spionage- und Erpressungs-Tools zielen auf Mac-Nutzer

Artikel auf Google Plus teilen.
23 Kommentare 23

Mit MacRansom und MacSpy rücken zwei neue, auf Mac-Nutzer zielende Malware-Varianten ins Rampenlicht. Die beiden Schadprogramme können im Internet nach persönlichen Wünschen konfiguriert geordert werden. Die Programmierer bieten damit verbunden auch zusätzliche Dienstleistungen wie das Eintreiben von Erpressungsgeldern an.

Mac Ransomware

MacRansom wurde von den Sicherheitsforschern Fortinet aufgestöbert und analysiert. Die Software verschlüsselt die Festplatte eines Mac und fordert für die Freigabe einen Lösegeldbetrag per Bitcoin-Zahlung. Die Programmierer der Malware gehen damit im Darknet auf Kundenfang, bieten Käufern die Möglichkeit, Details wie den Zeitpunkt der Verschlüsselung oder den Preis für die Freischaltung festzulegen und übernehmen darüber hinaus auch die Zahlungsverwaltung. Im Werbetext zum Programm heißt es, die Software sei perfekt dazu geeignet, sich an jemand zu rächen, oder einfach nur mal schnell etwas Geld zu verdienen.

Das Fortinet-Team hat sich als potenzieller Kunde ausgegeben um das Angebot zu verifizieren und kann die Funktion des Tools bestätigen. Dessen Existenz sei ein weiteres Beispiel für die zunehmende Bedrohung durch erpresserische Malware, unabhängig vom verwendeten Betriebssystem.

MacSpy spioniert Mac-Nutzer aus

Auf ein weiteres, offensichtliche von den gleichen Programmierern entwickeltes Tool namens MacSpy weist das Sicherheitsportal AlienVault hin. Hier wird kein Geld erpresst, sondern der Mac-Besitzer ausspioniert. Die Software sei beispielsweise in der Lage, alle 30 Sekunden einen Screenshot aufzunehmen, Tastatureingaben zu protokollieren oder mit der iCloud synchronisierte Fotos abzufangen.

Dienstag, 13. Jun 2017, 11:36 Uhr — Chris
23 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Wie kann man sich schützen? Beziehungsweise wie bekommt man diesen Virus? Der Anhang in einer Mail oder reicht schon der Besuch einer Internetseite?

    • Kurz den Text lesen Marco, Danke.

      • Kurz mal die Textpassage zitieren. Ein Hinweis findet sich offensichtlich nicht, wie man sich effektiv schützen kann.

      • Klugscheißer! Das steht da aber nicht.

      • Besser mal selber lesen und Fragen auch verstehen wollen, Balthasar! Danke!!!

        Die Frage von marco wird keineswegs im Text beantwortet – aber einigen scheint es hier nur wichtig andere zu maßregeln und klugzuscheißen …

    • Es muss irgendwas ausgeführt werden, dass dann die Malware installiert. Normalerweise hängen sich die Programme an die Installationsroutine anderer Anwendungen, meist open source. Hier hilft möglichst aus der Originalquelle zu installieren und das installations packet mit der MD5 Checksumme, die auf der Originalhomepage sein sollte, zu vergleichen.

      Der Anhang einer geöffneten Mail (je nach Mailclient) und der besuch einer Webseite kann auch zur Infektion führen, ist aber unwahrscheinlicher. Dafür muss eine Sicherheitslücke in der Mailapp/dem Browser ausgenutzt werden.

    • Der effektivste Schutz ist ein Backup.
      Diese Malware verschlüsselt heimlich im Hintergrund die Dateien. Wenn Sie fertig ist fordert sie Lösegeld.
      Macht man ein reguläres Backup mit Sicherheitskopien kann man die verschlüsselten Dateien wieder mit den original Dateien aus dem Backup überschreiben.
      Dazu reicht z.B. Time Machine.
      Man muss aber sicher stellen, dass das Backup nicht auch angegriffen und verschlüsselt wird!
      Das ist sehr wahrscheinlich, wenn es sich auf dem gleichen Rechner befindet.
      Deshalb Time Machine Backup auf externe Platte, am besten auch ein Backup in einer Cloud Lösung.
      (Ich selbst nutze einen MacPro mit ZFS als Backup, synchronisiere die Dateien unserer MacBooks per rsync. Bin gerade dabei das auch auf google drive hochzuladen, falls der MacPro sich ansteckt.)

      Es gibt programme (Anti-Virus), die die Malware erkennen (erkennen die Signature des laufenden Processes oder der runtergelassenen Datei). Diese greifen aber nur, wenn die Malware dem Program bekannt ist.

      Es gibt auch (mindestens ein) Programm, dass ungewöhnliche Prozesse erkennt. Das kann dann die Malware bei der Arbeit sein, die gerade Dateien verschlüsselt.
      Das ist zwar effektiver, aber bis man reagiert können schon ein paar Dateien verschlüsselt sein.
      Wenn man unvorsichtig auf „der Prozess ist ok“ klickt versagt das Program ganz.

      Ich finde Backup ist die beste Lösung.

      • Das bringt dir alles nichts, wenn zwischen Infektion und Geldforderung eine Zeitspanne liegt, die ausreicht, auch das über TM eingespielte Backup zu infizieren.
        Aber prinzipiell hast du natürlich recht: regelmäßige Backups sind Pflicht, so oder so. ;)

      • TM ist leider angreifbar, weil jeder auf die Mounts zugreifen kann

      • Klar – nichts ist bombensicher, aber nennt mit mal was besseres.
        – die Backups sind automatisch betroffen, verschlüsselte Dateien werden brav als neues Backup angelegt. Infiziert wird aber nichts automatisch, wenn das Backup z.B. auf einer externen Festplatte ist werden die anderen Dateien darauf nicht auch plötzlich verschlüsselt.

        – man braucht zur Reparatur natürlich eine Kopie aus einem Backup, dass alt genug ist, also vor der Verschlüsselung angelegt wurde.
        TM macht hourly, daily und weekly backups und löscht bei zu wenig platz das älteste weekly. Platz wird aber nur durch neue Versionen (oder gelöschte Dateien) im Backup verbraucht. Man sollte also meist ein Backup haben, dass alt genug ist. Man kann die Infektion auch schon bemerken, wenn man auf eine verschlüsselte Datei zugreift.
        – ich verlasse mich aber nicht auf tm, da ich auch ein yearly backup mache und bei speicherplatz mangel nix altes automatisch lösche (sondern kein neues Backup mache). Wenn ich dann händisch alte Backups lösche sehe ich, dass die neusten ungewöhnlich viel Änderungen enthalten und würde wahrscheinlich die Malware entdecken.

  • Was viel hilft. Nicht auf jeden scheiss klicken ^^

  • Im Zext steht weder wie man sich infiziert noch wie man sich davor schützt

  • Schlechter Artikel ! Hier fehlen wichtige Infos! 1. Wie kann man sich schützen und 2. Wie entfernt man die Malware! Beides steht nicht im Text!

  • Wie schütze ich mich eurer Meinung vor so etwas am besten?

  • (copy/paste von https://objective-see.com/blog/blog_0x1E.html)

    Though unlikely, to check if you’re infected, look for the following:
    – a process named ‚.FS_Store‘ (that’s running out of (~/Library)
    – a plist file: ‚~/Library/LaunchAgents/com.apple.finder.plist

    In this short blog post, we tore apart OSX/MacRansom – a basic piece of macOS new ransomware. Luckily tools such as BlockBlock and RansomWhere? did their job – generally detecting the ransomware’s persistence and encryption.

  • Ja und wie kommt es zu sowas? Kann man sich auch irgendwie davor schützen? Was sind die Anzeichen.. Überhaupt nicht erklärt im Artikel.. schlecht

    Am besten regelmäßig Backups machen, dann kann sowas auch nicht passieren. Ich gehe mal davon aus, dass sich die Software nicht von alleine installiert, sondern erst nach Admin-Passwort-Eingabe beim Installieren von Shareware/Freeware.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 22305 Artikel in den vergangenen 5872 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2017 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven