MacRansom und MacSpy: Mac-Malware kommt als Dienstleistung

Unbekannte handeln mit zwei Malware-Tools, die auf macOS abzielen – darunter ein Erpressungstrojaner. Mac-Nutzer seien gewöhnlich gewillt, weiter über 1000 Dollar für die Entschlüsselung ihrer Dateien zu bezahlen, wirbt der Anbieter.

Der Mac-Erpressungstrojaner soll Freunde und Verwandten um ihr Geld erleichtern.

(Bild: Fortinet)

Über “Hidden Services” wird im Tor-Netzwerk seit kurzem Malware zum Verkauf angeboten, die speziell auf macOS ausgelegt ist. Sicherheitsfirmen haben zwei Schädlinge ausfindig gemacht und näher untersucht: MacSpy soll den Mac des Opfers für eine Fernüberwachung öffnen und unter anderem Screenshots und Eingaben übermitteln. Mit MacRansom wird außerdem ein Erpressungstrojaner gehandelt, der die Dateien des Nutzers verschlüsselt. Der Analyse von Fortinet zufolge ist dieser offenbar aber nicht mehr in der Lage, die Daten auch wieder zu entschlüsseln.

MacRansom soll Geld von Familienangehörigen erpressen

Der Anbieter bewirbt das Tool als Möglichkeit, um “leichtes Geld” von Familienangehörigen, Freunden und Geschäftspartnern zu erhalten – also von Opfern, auf deren Mac unter Umständen direkter Zugriff besteht und eine unbemerkte Installation von Hand möglich ist. Man könne den Trojaner aber auch für die Verbreitung per AirDrop oder E-Mail anpassen – gegen eine Servicegebühr, so der Malware-Entwickler. Mac-Nutzer seien gewöhnlich bereit, über 1000 Dollar für die Entschlüsselung zu bezahlen, schreibt der Anbieter – einmal hätte ein Geschäftsbesitzer sogar über 26.000 Dollar rausgerückt.

Malware ist unsigniert und schlecht programmiert

Die Schädlinge sind der Analyse zufolge zwar funktionstüchtig, stammen aber offenbar von einem Entwickler, dem Erfahrung mit macOS noch fehlt. Sowohl MacSpy als auch MacRansom kommen ohne digitale Signatur, entsprechend zeigt macOS einen Warnhinweis bei der Installation. Im Frühjahr wurde aber bereits eine signierte Mac-Malware gehandelt, immer wieder sind Angreifer in der Lage, in den Besitz von Apple-Entwicklerzertifikaten zu gelangen, um Schad-Software zu signieren. Apple zieht die Zertifikate – nach Bekanntwerden – dann umgehend zurück. Ob die Schädlinge bereits aktiv eingesetzt werden, bleibt unklar, Berichte über eine Infektion liegen bislang nicht vor.

In den vergangenen Monaten wurde zweimal Malware über bekannte Mac-Software vertrieben – sie kamen vorübergehend als Bestandteil des BitTorrent-Clients Transmission sowie des Video-Encoders Handbrake. Die Malware “Proton” erwischte dabei sogar das altgediente Mac-Entwickler-Studio Panic – Angreifer konnten Quelltext zu mehreren Programmen der Firma klauen.

Mehr zum Thema:

(lbe)