Diese Website verwendet Cookies, um Ihnen die bestmögliche Nutzung unserer Website zu ermöglichen.
Bitte beachten Sie, dass Sie durch die weitere Nutzung dieser Website den Bedingungen unserer Privacy and Data Protection Policy zustimmen.
Akzeptieren

Spotlight on Security: EvilQuest / ThiefQuest Mac Ransomware

Ransomware für macOS zeigt, wie wichtig es ist, unabhängig getestete Mac-Antivirus-Software zu verwenden. EvilQuest / ThiefQuest Ransomware wird nun von allen Mac AV-Produkten blockiert, die von AV-Comparatives im Jahr 2020 zertifiziert wurden: Avast, AVG, Avira, Bitdefender, CrowdStrike, FireEye, Kaspersky, und Trend Micro.

Erstes Auftauchen

Am 29.. Juni twitterte der K7-Security Forscher Dinesh Devadoss über die Entdeckung eines neuen macOS-Ransomware-Programms. Bekannt als EvilQuest / ThiefQuest, scheint es auf den ersten Blick ein ziemlich standardmäßiges Ransomware-Programm zu sein, das Benutzerdateien verschlüsselt und eine Zahlung im Gegenzug für einen Entschlüsselungsschlüssel verlangt. Es stellte sich jedoch heraus, dass es besonders bösartig ist. Obwohl in der Lösegeldforderung eine BitCoin-Adresse für die Zahlung angegeben ist, gibt es keine offensichtliche Möglichkeit für die Opfer, die Angreifer zu kontaktieren oder zu beweisen, dass sie gezahlt haben.

Was bewirkt es?

Schlimmer noch, EvilQuest / ThiefQuest hat einige andere unangenehme Tricks in seiner Box. Er installiert einen Keylogger, der jeden Tastenanschlag des Opfers aufzeichnet, und verbindet das Zielsystem mit einem Befehls- und Kontrollzentrum, damit die Angreifer weitere Befehle ausführen können. Schließlich wird versucht, bestimmte Dateien zu exfiltrieren, die sich auf Kryptowährungs-Wallets beziehen, um mehr Geld zu stehlen. Die Autoren von EvilQuest scheinen sich bemüht zu haben, Malware-Forscher davon abzuhalten, das Programm zu analysieren. Es scheint , dass es auf virtuellen Maschinen - die häufig für Malware-Analysen verwendet werden - nicht ausgeführt werden kann oder wenn bestimmte Mac-Antivirus-Programme auf dem System installiert sind.

Gute Nachrichten / Schlechte Nachrichten

Die gute Nachricht über EvilQuest ist, dass es ziemlich schwierig ist, infiziert zu werden. Als eigenständiges Installationsprogramm wird es nun von den eingebauten Sicherheitsmechanismen in macOS blockiert, vorausgesetzt, diese haben Zugriff auf die Cloud-Dienste von Apple. Es scheint, dass Infektionen nur aufgetreten sind, wenn Benutzer kompromittierte Installationsprogramme für geknackte Versionen legitimer Anwendungen heruntergeladen haben, wie z.B. Little Snitch und gemischt in Key8, über Torrenting-Dienste. Selbst dann wird der Mac nur infiziert, wenn die Sicherheitswarnungen von macOS blindlings durchgeklickt werden.

Soll ich das Lösegeld bezahlen?

Die Bezahlung von Ransomware-Autoren für die Entschlüsselung Ihrer Dateien ist im besten Fall eine Lotterie, aber in den meisten Fällen scheint es mehr oder weniger sicher zu sein, dass die verschlüsselten Daten für immer verloren sind, selbst wenn Sie zahlen.

Was kann ich tun?

Machen Sie ein Backup, zahlen Sie nicht das Lösegeld! Die beste Option ist, regelmäßig ein Backup zu erstellen. Sie müssen jedoch sicherstellen, dass Sie das Backup-Medium anschließend von Ihrem Computer trennen, da sonst auch das Backup von der Ransomware verschlüsselt wird!

Antivirus-Software für macOS verwenden

Für Mac-Benutzer, die das Risiko eingehen, Software aus potenziell riskanten Quellen zu verwenden, wird deutlich, wie wichtig es ist, wirksame, unabhängig getestete und zertifizierte Antiviren-Software für macOS einzusetzen.

Sie können sich auf unabhängige Vergleiche verlassen Tests von AV-Software, aber nicht auf Online-Vergleichstools wie VirusTotal - diese sind keineswegs eine Garantie für Schutz. Diese Online-Scanner haben zwar ihren Nutzen, aber sie verlassen sich ausschließlich auf Befehlszeilen-Scanner, um hochgeladene Dateien auf Malware zu überprüfen, und simulieren daher nicht die reale Welt. Außerdem werden einige Mac-Malware-Samples möglicherweise nicht auf VT wenn sie nicht die richtigen Dateierweiterungen haben.

Ein vollständiges Antivirus-Programm, das auf dem lokalen System ausgeführt wird, verfügt über eine ganze Reihe weiterer Schutzmechanismen wie URL-Blocker, Reputationsdienste und Verhaltensblocker, die die Chancen, das System vor Infektionen zu schützen, erheblich erhöhen. Eine solche Security-Software kann auch eine dynamische Analyse eines Programms durchführen, während es ausgeführt wird, und so Verschleierungstechniken (wie proprietäre Packmethoden) umgehen, die bei einer einfachen Überprüfung des inaktiven Installationsprogramms nicht erkannt werden können.

Wo kann ich einen zuverlässigen Test von macOS-Antivirus-Software finden?

Die von AV-Comparatives in ihrem Mac-Malware-Test angewandte Testmethodik ermöglicht es den getesteten Programmen, eine Vielzahl von Schutzmechanismen, einschließlich cloudbasierter Dienste, zu nutzen, um das System vor, während oder nach der Ausführung von Schadprogrammen zu schützen. Eine große Anzahl verifizierter Malware-Samples gewährleistet zudem die statistische Relevanz der Ergebnisse.

Neben Mac-Malware prüft der Test auch den Schutz vor Mac-PUA - ein zunehmendes Ärgernis - und die Erkennung von Windows-Malware-Samples. Letzteres stellt sicher, dass macOS-Nutzer nicht versehentlich Schadprogramme an Freunde, Familie oder Kollegen weitergeben, die das Windows-Betriebssystem nutzen. Ein False Positives Test stellt zudem sicher, dass die getesteten Mac-Antivirenprogramme die Nutzer nicht mit Fehlalarmen bei legitimer Software belästigen.

Die in diesem Jahr getesteten und zertifizierten Programme sind, in alphabetischer Reihenfolge: Avast Security für Mac, AVG Internet Security für Mac, Avira Antivirus Pro für Mac, Bitdefender Antivirus für Mac, CrowdStrike Falcon Prevent für Mac (Unternehmensprodukt), FireEye Endpoint Security für Mac (Unternehmensprodukt), Kaspersky Internet Security für Mac, Trend Micro Antivirus für Mac. Der Bericht enthält eine Übersicht über die Benutzeroberfläche, so dass sich die Leser ein Bild davon machen können, wie die einzelnen Programme in alltäglichen Situationen zu verwenden sind.

Wie alle öffentlichen Berichte von AV-Comparatives wird auch der 2020 Mac Security Test and Review jedem kostenlos zur Verfügung gestellt. Er kann hier heruntergeladen werden: https://www.av-comparatives.org/tests/mac-security-test-review-2020/