Sie haben Fragen?
Gerade bei Start-ups sind Laptops der Marke mit dem Apfel beliebt und gehören mittlerweile zum Standard. Nutzer eines Mac-Computers können sich bei Meldungen über neue Malware-Kampagnen in den meisten Fällen entspannt zurücklehnen, denn sie sind wesentlich seltener betroffen als Nutzer von Windows-PCs. Nicht jedoch im aktuellen Fall. Sicherheitsforscher von K7 Lab haben in der vergangenen Woche Details zu einem neuen Schädling veröffentlicht, der Apple-Computer angreift. Das Ungewöhnliche an ThiefQuest, wie die Forscher ihn nannten, ist die Tatsache, dass er nicht nur als Ransomware agiert, sondern darüber hinaus auch eine Reihe Spyware-Funktionen an Bord hat, mit denen Dateien herausgefiltert werden können und die das System nach Kennwörtern und Kryptowährungs-Wallets durchsucht. Darüber hinaus bringt ThiefQuest einen Keylogger mit, um Kennwörter, Kreditkartennummern oder andere eingegebene Informationen zu stehlen und bleibt auch nach einem Neustart des Geräts aktiv, kann also als Launchpad für weitere Attacken genutzt werden.
Auffällig ist dabei auch, dass das System von ThiefQuest nicht wirklich ausgereift zu sein scheint. Insbesondere die Ransomware macht einen unfertigen Eindruck. Es existiert weder eine E-Mail-Adresse, über die die Opfer einen Decodierungsschlüssel erhalten könnten, noch haben die Kriminellen die Möglichkeit, mit der angegebenen statischen Bitcoin-Adresse Zahlungen zuzuordnen. Sie können also gar nicht wissen, wer bereits gezahlt hat und wer nicht.
Dass die Ransomware nicht im Vordergrund steht, sondern offenbar nur als weitere Möglichkeit eingebaut wurde, um Geld zu erpressen, zeigt auch die Tarnfähigkeit von ThiefQuest. Für eine Ransomware, die mit einem wild wedelnden Geldschein auf sich aufmerksam macht, wäre das ziemlich unnötig. So wird die Malware beispielsweise nicht ausgeführt, wenn bestimmte Sicherheitstools wie Norton Antivirus erkannt wurden. ThiefQuest ist auch in der Lage, sich während einer Sicherheitsüberprüfung in einer Sandbox oder einer virtuellen Maschine unverdächtig zu verhalten. Das lässt vermuten, dass das Spyware-Modul bei der Entwicklung im Vordergrund stand.
Wirklich Angst vor einer Infektion mit dem neuen Schädling müssen Apple-User jedoch trotzdem nicht haben. Bislang verbreitet sich ThiefQuest hauptsächlich über Torrent-Seiten, über die illegal Software heruntergeladen werden kann. Betroffen sind beispielsweise Raubkopien der Sicherheitsanwendung Little Snitch, der DJ-Software Mixed in Key und der Musikproduktionsplattform Ableton. Damit ein Computer infiziert wird, müssen Nutzer also ein kompromittiertes Installationsprogramm herunterladen. Bei der Installation eines solchen Programms aus unbekannter Quelle warnt Apple den Nutzer dann auch mehrfach vor der Installation. Nur wer all diese Warnungen ignoriert und die Installation trotzdem fortsetzt, wird Opfer von ThiefQuest.
Bild (c) madartzgraphics / Pixabay
