Evilquest: Hinterhältige Ransomware für Mac-Computer aufgetaucht
Die Ransomware Evilquest treibt derzeit im Apple-Universum ihr Unwesen. Die Erpresser-Software ist um einiges bösartiger als einschlägige Windows-Pendants.
Das Wichtigste in Kürze
- Torrent-Nutzer mit Mac aufgepasst: Derzeit treibt eine schlimmer Ransomware ihr Unwesen.
- Während sie Daten verschlüsselt, Lösegeld fordert, geschieht im Hintergrund weitaus mehr.
Ransomware sind bösartige Programme, die Rechner infizieren, Daten verschlüsseln, und erst wieder freigeben, wenn Opfer ein Lösegeld zahlen. Meist sind Meldungen über Ransomware-Angriffe Windows-bezogen. Doch nun ist zum ersten Mal seit Jahren eine Ransomware für Mac-Computer aufgetaucht.
Das Schadprogramm wird von IT-Experten als «EvilQuest» bezeichnet und ist sogar im Vergleich zu üblicher Ransomware wirklich «evil». Denn: Während die meisten Ransomware «nur» Daten verschlüsseln und diese nach Zahlungseingang oftmals sogar wirklich freigeben, tut EvilQuest viel mehr. Unabhängig davon, ob der Betroffene das Lösegeld zahlt oder nicht.
#macOS #ransomware impersonating as Google Software Update program with zero detection.
— Dinesh_Devadoss (@dineshdina04) June 29, 2020
MD5:
522962021E383C44AFBD0BC788CF6DA3 6D1A07F57DA74F474B050228C6422790 98638D7CD7FE750B6EAB5B46FF102ABD@philofishal @patrickwardle @thomasareed pic.twitter.com/r5tkmfzmFT
EvilQuest: Viel mehr als «nur» Erpressung
So sucht das Programm im Hintergrund nach Dateien, welche Schlüssel zu Krypto-Wallets enthalten. Diese ermöglichen den Hackern theoretisch Zugang zu Kryptowährungskonten der Nutzer. Doch das ist noch nicht alles. Wie der «Spiegel» schreibt, installiert EvilQuest zusätzlich einen sogenannten KeyLogger.
Dabei handelt es sich um ein Programm, das sämtliche Tastenanschläge des Nutzers aufzeichnet und an die Angreifer weiterleitet. So lassen sich beliebige Passwörter auslesen. Sogar die Eingaben beim Login zum E-Banking werden damit übermittelt. Nur eine Mehrfach-Faktor-Authentifizierung kann hier den Worst Case verhindern.
Daher sei Betroffenen zur Bereinigung des Systems geraten. Unabhängig davon, ob ein Lösegeld gezahlt wurde oder nicht. Dieses ist mit 50 Euro relativ tief angesetzt – ein Zeichen dafür, dass die Hacker nicht nur darauf setzen.
So steckt man sich an
Berichten zufolge sind insbesondere Nutzer betroffen, welche Raubkopien verschiedener Software herunterluden. Etwa auf Torrent-Seiten oder russischen Foren. Als Beispiel nennt der Spiegel das beliebte DJ-Programm Ableton Live.
I might have seen this. Gatekeeper warned me of GoogleSoftwareUpdate.bundle that wanted to execute, but I cancelled it. The second time it showed up, I deleted it. I have not downloaded bittorrents or any Flash Player. I will try to investigate if I can find out more…
— Søren Theilgaard (@theilgaard) June 30, 2020
Ein Twitter-Nutzer bekundet jedoch, dass er dieselbe Schadware ohne jegliche Torrentloader gefunden hat. So habe es sich bei einer dubiosen Datei um eine gehandelt, die sich als Google-Update ausgab. Woher diese fragliche Datei stammt, ist unklar.
