Transmission verteilt Erpressungstrojaner auf dem Mac
Update: Hintergründe zum OS X-Erpressungstrojaner
Der geschätzte BitTorrent-Client Transmission, eine kostenlose und werbefreie Mac-Software zum Laden und Verteilen beliebiger BitTorrent-Dateien, hat mehrere Macs mit einem Erpressungstrojaner infiziert und zeichnet damit für den ersten großen Fall von Ransomware unter OS X verantwortlich.
Das Update auf Version 2.91 informiert die Anwender
Die schadhafte Datei (im Aktivitätsmonitor gibt diese sich unter dem Kürzel „kernel_service“ zu erkennen) wurde, ohne Wissen der Entwickler, von Version 2.90 der Transmission-Applikation verteilt und legt sich im Verzeichnis „/Users/Library/“ ab.
Die Entwickler der Transmission-Applikation haben ihre Anwender dazu aufgerufen Version 2.91 zu installieren und gehen derzeit davon aus, dass ausschließlich der direkte Transmission-Download mit dem Erpressungstrojaner infiziert war. Anwender, die von der automatischen Software-Aktualisierung Gebrauch machten, sind auf der sicheren Seite.
Die Sicherheitsforscher der Palo Alto Networks haben die Arbeitsweise des Erpressungstrojaners in dieser Blogeintrag beschrieben und legen eine technische Analyse vor. Demnach versucht der Erpressungstrojaner nicht nur den Mac zu verschlüsseln sondern hat es auch auf TimeMachine-Backups abgesehen und verlangt von betroffenen Anwender $400 in BitCoin um betroffene Systeme wieder freizugeben. Transmission 2.92 wird den Erpressungstrojaner von betroffenen Systemen entfernen.
Heute über BT, morgen über eine offene 0-day Sicherheitslücke. Wie schützt man OsX am besten? Ist es Zeit für einen Virenscanner?
… die bieten keinen 100% Schutz und verlangsamen das System.
Software nur aus vertrauenswürdigen Quellen (App-Store) bringt schon mal einen Teil Sicherheit!
Ich halte es für ziemlich dämlich Nutzern von Software abzuraten die zusätzliche Sicherheit bietet! Ein Virenscanner/Internet Security bringt keinen 100%igen Schutz, genauso wenig wie in Airbag im Auto! Deswegen zu sagen kauf dir lieber ein Auto ohne Airbag ist hirnrissig!
Ich persönlich kann diese ignorante Haltung mancher Mac OS X Nutzer nicht nachvollziehen.
Wenn du einen aktuellen Mac 8GB oder mehr an Ram und eine SSD hast merkst du den Virenscanner so gut wie nicht! Bei einer HDD muss man es einfach testen!
Virenscanner sind Schlangenöl. Erstrecht auf OSX.
Also der Gatekeeper hätte die Installation der software verhindert.
Also nein. Keine virensoftware.
Der Gatekeeper verhindert aber auch die Installation der meisten unschädlichen Software
Bei soviel technischem Verständnis hoffe ich mal, dass du mich wissend machen kannst, wie dieses Zitat aus dem im Artikel verlinkten Blog mit der technischen Analyse der Software zu verstehen ist:
>>The KeRanger application was signed with a valid Mac app development certificate; therefore, it was able to bypass Apple’s Gatekeeper protection.<<
Bitte mach mich wissend, großer Meister!
Na sowas.
Installiert sich der von alleine oder muss der User da aktiv werden, zum Beispiel das System Passort eingeben?
Der User muß AKTIV die Software installieren.
Du gibst dem Installer ja in diesem Fall die Erlaubnis zu installieren, weil du schließlich Transmission installieren willst. Dabei installiert sich dann Huckepack die Malware. Dagegen kann man rein gar nichts tun. Auch der Gatekeeper nützt da nur bedingt, da er nur exakt diese bestimmte Installation blocken kann. Es ist aber gut möglich, dass die Malware ihren Weg auch in andere Installer gefunden hat.
Danke für den Hinweis
hatte gleich mal geguckt, war aber sauber.
Update auf 2.9.2 wurde auch gleich angeboten.
wie funktioniert das? wie kommt der Trojaner in den Download?
Vermutlich ein Installer aus nicht originaler Quelle bei einem Download-Anbieter. Es war ja auch mal bei „CHIP“, daß die dort herunterladbaren Installer modifiziert wurden und irgendwelche tollen Browser-Addons direkt mitinstalliert hatten.
Eben nicht, die infizierte App hat man direkt von der Entwickler-Website bekommen wenn man sie zwischen dem 4. und dem 5. März dort heruntergeladen hat!
Also momentan sind ja zwei Malwares im Umlauf. Einmal über diesen bitTorrent Client und zum anderen über den Youtube Unblocker.
Ich war von beiden Malwares betroffen und habe mein System sicherheitshalber komplett neu installiert. Ich glaube nicht, dass man manuell sämtliche Schadcodes vom Mac entfernt kriegt. Irgendwo bleibt doch immer was kleben.
Ich bin seitdem echt noch vorsichtiger geworden!
Hattest du Little Snitch installiert? Und wenn ja wurde die Aktivitäten durch LS erkannt?
Los geht’s! Ich nehme an, in Zukunft ist mit mehr Malware etc. auch auf Macs zu rechnen.
„Ich bin seitdem echt noch vorsichtiger geworden!“ …
Der beste Schutz :-)) (wenn auch nicht 100%).
Leider wird es in Zukunft mehr solcher Meldungen geben- davon ist auszugehen.
OS-X ist vielleicht eine Festung, aber keine Festung, die man nicht überwinden könnte!
Immer schön Ehrlich bleiben!
Dann hat man auch kein Problem mit sowas!
Wer braucht schon einen Bittorrent und so ein Zeug!
Dann gehts auch mit dem Nachbarn
Witzig wie immer gleich Bittorrent mit illegalen Dingen in Verbindung gebracht wird. Einfach sich vorher mal darüber informieren ;)
Das wäre ja genau so wie wenn man behauptet, dass jedes Auto ein Fluchtwagen für ein Verbrechen ist ;)
Potentiell schon
Nicht alles, was hinkt, ist ein Vergleich ;-) Autos werden zu ca. 99,9% (grobe Schätzung) zu legalen Zwecken eingesetzt. Wenn man das von BT auch behaupten kann, ist ja alles gut. Nur – ein Blick ins Netz erweckt zumindest einen anderen Eindruck …
Ok, und was genau lädt man nun über BT so legales, was man nicht auch einfach so direkt übers Web bekommt?
«Besonders gut geeignet ist BitTorrent für die schnelle Verteilung großer Dateien, für die eine aktuell große Nachfrage vorhanden ist. Bei etwas älteren oder weniger gefragten Dateien ist unter Umständen das Herunterladen über FTP oder HTTP wegen der zu geringen Anzahl von Uploadern vorzuziehen…
…Red Hat und Novell gehörten zu den ersten Linux-Distributoren, die BitTorrent zur Verbreitung ihrer Distributionen verwendeten. Inzwischen sind alle bekannteren Linuxdistributionen und FreeBSD über BitTorrent erhältlich.»
https://de.wikipedia.org/wiki/BitTorrent
Bittorrent erlaubt das schnellere und kostengünstigere Verteilen von Software als herkömmliche Verfahren. Aus diesem Grund setzt bspw. auch Microsoft beim Verteilen ihrer Windows-Updates auf Peer2Peer, wenn man das nicht abschaltet.
Aber Microsoft setzt nicht auf BT, um das es hier geht ;-)
Zum Beispiel wird LibreOffice so verteilt, das Internet Archive setzt es ein und auch die geniale Software Bittorrentsync. Wenn das Verteilen von Dateien für Normalanwender nicht so umständlich wäre, hätte sich das Protokoll viel besser durchgesetzt.
Libre Office gibt es auch im MAS. ;) Und mal ganz ehrlich: Natürlich werden Linux-Distris via BT verteilt, aber die Masse der BT-User lädt FreeBSD eher selten und schon gar nicht täglich.
Allerdings: Was mit diesem Installer funktionierte, kann auch – egal, wie umsichtig man sonst agiert – an anderer Stelle funktionieren, auch der MAS ist diesbezüglich kein Ort der Glückseligkeit. Es gibt keine absolute Sicherheit, nur relative; und die ist mit einem Mac bei gleichzeitiger Benutzung des eigenen Kopfes schon ziemlich hoch, sicherlich höher als bei anderen Systemen.
Hab mir Transmission v2.90 direkt heruntergeladen als ich letzte Woche irgendwo gelesen hab, dass nach langer langer Zeit endlich mal wieder eine neue Version erschienen ist. Nachdem ich mir aber noch nicht sicher war ob ich die App verwenden werde hab ich sie bisher immer nur direkt aus dem dmg-Image gestartet. Als dann gestern die Nachricht von der Malware die Runde gemacht hat war ich natürlich zu Tode besorgt um meinen Mac, auch weil ich im Moment einfach keine Zeit hab das Teil stundenlang neu aufzusetzen… Allerdings hat sich dann zum Glück herausgestellt, dass ich wohl noch eine nicht-infizierte Version ohne diese ominöse General.rtf-Datei heruntergeladen hab. Trotzdem habe ich mich gefragt: hätte ich mir den Trojaner im schlimmsten Fall eingefangen, obwohl ich die App nur aus dem dmg-Image heraus gestartet habe?
Ich würde sagen ja, da der Trojaner sich beim Ausführen der App installiert und danach davon unabhängig ist. Für Details schau dir sonst die oben verlinkte technische Analyse an, ist ziemlich interessant.
Die Benutzung eines Mac war schon immer mit der Verantwortung des Users verbunden. Im Prinzip ist das System sehr sicher vor Viren, Trojanern und Malware, aber auch nur, wenn man nicht jede x-beliebige Software installiert und nicht ständig mit einem Admin Account unterwegs ist.
Einfach mal nachdenken, bevor man das Admin Passwort eingibt und schon sollte da nichts passieren können.
Wenn man natürlich per se mit „zwielichtiger“ Software zu tun hat ist es schwer deren Authentizität festzustellen.
Du bist mir ja jetzt mal echt ein Schlauer..
Die Schadsoftware kam in dem Fall eben nicht mit irgendeinem dubiosen Programm, sondern mit einer durchaus bekannteren Software.
Das mit dem „einfach kein Admin-Passwort eingeben“ wird hier immer wieder gerne vorgetragen, ist in dem Fall aber nicht hilfreich. Die User wollten Transmission ja installieren, haben die Installation bewusst/aktiv selbst gestartet und sind dann natürlich auch nicht überrascht, daß die Abfrage kommt.
Dass das PW bei einer Softwareinstallation abgefragt wird , ist ja nun wahrlich nichts seltenes, so dass man da schon automatisch hellhörig werden müsste.