Wer macOS nutzt, sollte derzeit wachsam sein: Eine Malware kursiert, die es gezielt auf Apple-Systeme abgesehen hat. Was dahintersteckt und wie sie sich verbreitet – hier die wichtigsten Details zu ThiefQuest.
Was genau ist „ThiefQuest“?
ThiefQuest ist keine vollständig neue Schadsoftware. Der aktuell kursierende Vertreter war zuvor unter dem Namen EvilQuest bekannt. Im Vergleich zum Vorgänger bringt ThiefQuest jedoch ein deutlich erweitertes Funktionsset mit – und ist dadurch gefährlicher.
Verbreitung
ThiefQuest verbreitet sich vor allem über Websites für Online-Piraterie, die Raubkopien von macOS anbieten. Auch sogenannte Download-Repositorys enthalten teils die Malware. Was diese Repositorys besonders anfällig macht, erklärt der nächste Abschnitt.
Gefahr durch Download-Repositorys
Windows-Nutzerinnen und -Nutzer kennen dieses Modell der Software-Verwaltung oft gar nicht. Bei Linux und macOS hingegen übernimmt ein separates Setup-Programm die Systemeinstellungen bei der Installation. Ein Repository – oder «Repositorium» – ist vereinfacht gesagt ein digitales Verzeichnis zur Speicherung und Beschreibung von Software-Daten.
Im Normalfall erhöhen Repositorys die Systemsicherheit: Sie analysieren, welche Software-Versionen mit dem Betriebssystem und installierten Programmen kompatibel sind. Enthält ein Repository aber Malware wie ThiefQuest, untergräbt der Schädling genau diesen Mechanismus.
Funktionsweise von ThiefQuest
ThiefQuest enthält Funktionen eines Verschlüsselungstrojaners – obwohl das nicht die primäre Angriffsmethode ist. Im Vordergrund stehen Keylogging und Datendiebstahl.
Dazu kommt eine fortschrittliche Erkennung von Antiviren-Programmen: Die Malware scannt das System auf Sicherheitstools und umgeht sie gezielt.
Infizierte Zieldateien werden ausserdem in versteckten Ordnern abgelegt – so bemerken weder Antivirensoftware noch die betroffene Person etwas von der Infektion.
Ist der Schädling erst einmal aktiv, lädt er weitere Dateien nach, die ebenfalls schadhaften Code enthalten und ausführen.
Was ist Keylogging?
Keylogging-Malware protokolliert sämtliche Eingaben am Gerät, speichert sie und rekonstruiert sie später. So gelangt ThiefQuest an vertrauliche Daten – darunter Passwörter. Besonders tückisch: Viele ähnliche Schadprogramme warten gezielt auf bestimmte Eingaben, etwa beim Online-Banking. Das funktioniert über vordefinierte Schlüsselwörter der Schadsoftware-Entwickler.
Apple geht gegen ThiefQuest vor
Sobald Malware bekannt wird, arbeiten Sicherheitsforscherinnen und -forscher an Gegenmassnahmen. Apple hat mit dem Sicherheitsupdate Version 2125 (für XProtect) eine Signatur bereitgestellt, die ThiefQuest erkennen soll.
GitHub war ebenfalls aktiv und stellt auf seiner Plattform Tools zur Entschlüsselung von mit ThiefQuest infizierten Dateien bereit.