Attacke auf MacOS: Ramsomware EvilQuest kommt mit Keylogger

Ransomware, die es nur auf MacOS-Systeme absieht, ist immer noch relativ selten. Mit EvilQuest ist jetzt eine besonders fiese Schadsoftware dieser Art für Apple-Rechner im Umlauf. Sie verschlüsselt nicht nur Daten, sondern bringt gleich noch einen Keylogger mit.

Auch auf Mac kommen immer wieder Fieslinge vorbei

OSX.EvilQuest: Unter diesem Namen warnt aktuell der Sicherheitsforscher Patrick Wardle vor einem neuen Schädling, der für Apple-Systeme entwickelt wurde. "Es ist nicht alltäglich, dass eine neue Ransomware entdeckt wird, die auf macOS abzielt", so Wardle in seiner ersten Analyse - wie ZDNet in seinem Bericht ergänzt, ist EvilQuest nach KeRanger und Patcher erst der dritte Ransomware-Stamm, der exklusiv auf OSX-Rechner hin abgestimmt wurde.
Wer nicht aufpasst... ...wird von EvilQuest kalt erwischt Zunächst wirkt sich der Schädling dabei klassisch wie eine Ransomware aus. Einmal ausgeführt, werden Daten verschlüsselt und der Nutzer darüber mit einem Text-Popup informiert. Damit geht das Problem für Betroffene aber erst richtig los: "Nach Beendigung des Verschlüsselungsprozesses installiert die Ransomware einen Keylogger, um alle Tastenanschläge des Benutzers aufzuzeichnen", so Sicherheitsforscher.
Wenn die Raubkopie... ... mit Schädling kommt Zusätzlich wird im System eine Reverse-Shell eingerichtet die es dem Angreifer ermöglicht, eine Verbindung zum infizierten Host herzustellen und benutzerdefinierte Befehle auszu­führen. Zu guter Letzt hält die Schadsoftware nach typischen Dateien für Cryptocurrency Wallet-Anwendungen Ausschau und entwendet diese. Kurz gesagt: Mit einer Anwendung erreichen die Angreifer hier viele Ziele.

Ansteckungsgefahr gering

Schaut man sich dann die Analyse zu möglichen Ansteckungs-Wegen an, zeigt sich ein recht be­kanntes Bild: Der Schädling war ursprünglich am 29. Juni vom Sicherheitsforscher Dinesh Devadoss öffentlich gemacht worden. Dessen Untersuchungen sprechen dafür, dass er wohl seit Anfang Juni Verbreitung findet. Das ge­nutzte Einfallstor: "EvilQuest versteckt sich in raubkopierter macOS-Software, die auf Tor­rent-Portalen und Online-Foren hochgeladen wurde."

Devadoss nennt hier ein Software-Paket mit dem Namen "Google Software Update", andere Sicherheitsforscher haben EvilQuest in Raubkopien der DJ-Software "Mixed In Key" sowie des macOS Security-Tools Little Snitch entdeckt. Man darf laut den Forschern davon aus­gehen, dass hier aktuell auch noch viele andere Anwendungen aus solchen Quellen den Schädling im Gepäck haben. Die Software setzt außerdem darauf, dass Nutzer einer Insta­llations-Warnung zu weniger Beachtung schenken. "MacOS-Benutzer, die versuchen, Soft­ware zu raubkopieren, ignorieren diese Warnung möglicherweise", so Wardle.