Evilquest: Hinterhältige Ransomware für Mac-Computer aufgetaucht
Das Wichtigste in Kürze
- Torrent-Nutzer mit Mac aufgepasst: Derzeit treibt eine schlimmer Ransomware ihr Unwesen.
- Während sie Daten verschlüsselt, Lösegeld fordert, geschieht im Hintergrund weitaus mehr.
Ransomware sind bösartige Programme, die Rechner infizieren, Daten verschlüsseln, und erst wieder freigeben, wenn Opfer ein Lösegeld zahlen. Meist sind Meldungen über Ransomware-Angriffe Windows-bezogen. Doch nun ist zum ersten Mal seit Jahren eine Ransomware für Mac-Computer aufgetaucht.
Das Schadprogramm wird von IT-Experten als «EvilQuest» bezeichnet und ist sogar im Vergleich zu üblicher Ransomware wirklich «evil». Denn: Während die meisten Ransomware «nur» Daten verschlüsseln und diese nach Zahlungseingang oftmals sogar wirklich freigeben, tut EvilQuest viel mehr. Unabhängig davon, ob der Betroffene das Lösegeld zahlt oder nicht.
EvilQuest: Viel mehr als «nur» Erpressung
So sucht das Programm im Hintergrund nach Dateien, welche Schlüssel zu Krypto-Wallets enthalten. Diese ermöglichen den Hackern theoretisch Zugang zu Kryptowährungskonten der Nutzer. Doch das ist noch nicht alles. Wie der «Spiegel» schreibt, installiert EvilQuest zusätzlich einen sogenannten KeyLogger.
Dabei handelt es sich um ein Programm, das sämtliche Tastenanschläge des Nutzers aufzeichnet und an die Angreifer weiterleitet. So lassen sich beliebige Passwörter auslesen. Sogar die Eingaben beim Login zum E-Banking werden damit übermittelt. Nur eine Mehrfach-Faktor-Authentifizierung kann hier den Worst Case verhindern.
Daher sei Betroffenen zur Bereinigung des Systems geraten. Unabhängig davon, ob ein Lösegeld gezahlt wurde oder nicht. Dieses ist mit 50 Euro relativ tief angesetzt – ein Zeichen dafür, dass die Hacker nicht nur darauf setzen.
So steckt man sich an
Berichten zufolge sind insbesondere Nutzer betroffen, welche Raubkopien verschiedener Software herunterluden. Etwa auf Torrent-Seiten oder russischen Foren. Als Beispiel nennt der Spiegel das beliebte DJ-Programm Ableton Live.
Ein Twitter-Nutzer bekundet jedoch, dass er dieselbe Schadware ohne jegliche Torrentloader gefunden hat. So habe es sich bei einer dubiosen Datei um eine gehandelt, die sich als Google-Update ausgab. Woher diese fragliche Datei stammt, ist unklar.