2517707

Neue Mac-Malware EvilQuest kopiert Nutzerdaten

05.07.2020 | 07:07 Uhr | Halyna Kubiv

Seit einiger Zeit kursiert über Torrent-Plattformen eine Mac-Malware, die eigentlich die Festplatte verschlüsseln sollte.

Update vom 02. Juli 2020:

Nach den Erkenntnissen von Bleeping Computer, die die Malware ebenfalls untersucht haben, verstecken sich im Download-File einige Python-Skripe, die den Nutzer-Ordner nach bestimmten Dateien wie Word-, Pages-Dateien, SSL-Zertifikate, Source Code durchsucht und gefundene Files auf einen entfernten Server kopiert. Die gesamte Liste der gesuchten Daten-Endungen sieht wie folgt aus:

.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat

Die Erkenntnisse von Bleeping Computer haben ebenfalls Sicherheitsexperten von Intel bestätigt. Demnach dient die Ransomware-Masche als Tarnung, um das Diebstahl von Nutzer-Dateien zu verschleiern und die Aufmerksamkeit des Nutzers abzulenken.

Ursprüngliche Meldung vom 01. Juli 2020:

Der Sicherheitsforscher Thomas Reed bei Malware Bytes hat die neue Malware nach dem Hinweis eines Twitter-Nutzers auf dem russischen Torrent-Forum Rutracker gefunden. Die Malware hat der Forscher auf den Namen EvilQuest getauft, diese tarnt sich als ein Installations-Paket von Little Snitch, einer bekannten App, die den Netzwerk-Datenverkehr auf dem Mac überwacht. Diese Masche ist übrigens bekannt: TrojanSpy , eine Windows-Malware aus dem Jahr 2019, tarnte sich ebenfalls als Little Snitch.

Nach Untersuchungen von Reed installiert die Software tatsächlich eine legitime Version von Little Snitch, gleichzeitig lädt sich eine ausführbare Datei "patch", die die eigentliche Malware installiert. Nach Berichten des Sicherheitsforschers gab es bereits bei der Installation Probleme. Die Malware hatte sich installiert, Little Snitch dagegen nicht, der Prozess hat sich aufgehängt, sodass der Forscher diesen manuell beenden musste. Die neue Malware erschleicht sich die Rechte als Start-Objekt, Spuren davon wurden in den Library-Ordnern wie AppQuest und Googles "GoogleSoftwareUpdate" gefunden.

Nach Angaben des Sicherheitsforschers sollte die Malware die Festplatte des Nutzers verschlüsseln und Lösegeld verlangen, dazu fanden sich in der Software Spuren von einem Keylogger, einer Software, die alle Tastenanschläge registriert. In der aktuellen Variante von EvilQuest ist eine programmatische Verzögerung von drei Tagen eingebaut, sodass der Nutzer nicht sofort auf die Idee kommt, dass ein Download von vor drei Tagen aktuelle Probleme verursachen kann. Nach drei virtuellen Tagen, die Reed mittels Systemeinstellungen erzeugt hat, begann die Malware Dateien zu verschlüsseln. Offenbar kennen sich die Autoren der Malware nicht so gut mit der Dateistruktur aus, denn es wurden auch Schlüsselbund-Daten und Einstellungs-Daten verschlüsselt, die zu prominenten Fehlermeldungen führen. Andere Nutzer im Forum haben berichten, dass sie tatsächlich eine Aufforderung zum Lösegeld erhalten haben, Reed hat jedoch nicht hinbekommen, seine Variante der Malware zum Laufen zu bringen.

Um sich von dieser und anderen Malware zu schützen: Laden Sie die Software nur aus einer legitimen Quelle, Little Snitch gibt es beispielsweise hier . Dazu ist ein aktuelles Backup unabdingbar: Wie es aussieht, ist die Malware so schlecht programmiert, dass sie ihr eigentliches Ziel verfehlt, aber viel Unfug im System einrichten kann.

Macwelt Marktplatz

2517707