Besitzer des Betriebssystems macOS sollten von nun an extrem vorsichtig sein, denn es ist eine neue Malware im Umlauf, die es speziell auf Apple-Systeme absieht. Wir erklären Ihnen nachfolgend alle wichtigen Details der neuen Variante von Schadsoftware namens ThiefQuest.
Was genau ist “ThiefQuest”?
Im Grunde handelt es sich bei ThiefQuest nicht um eine ganz neue Version von Malware. Der aktuell kursierende Vertreter war zuvor unter dem Namen EvilQuest bekannt. Im Vergleich zum Vorgänger besitzt ThiefQuest allerdings ein ganzes Repertoire an ausgefeilten Funktionen, die es noch gefährlicher machen.
Verbreitung
ThiefQuest scheint sich besonders auf Webseiten für Online-Piraterie zu verbreiten, die Raubkopien vom Apple-Betriebssystem macOS anbieten. Auch sogenannte Download-Repositorys enthalten mitunter die Malware. Um sich vor dem Schädling zu schützen, erklären wir Ihnen, was an der Funktionsweise dieser Repositorys so besonders ist.
Gefahr durch Download-Repositorys
Nutzer des Windows Betriebssystems kennen diese Form der Software-Installation und -Verwaltung häufig gar nicht. Bei Linux oder Apple hingegen verwaltet ein separates Setup-Programm die relevanten Systemeinstellungen im Falle einer Installation. Ein Repository oder auch “Repositorium” ist rein übersetzt eine Art Projektarchiv und in der IT ein digitales Verzeichnis zur Speicherung und Beschreibung von Daten.
Im Normalfall sorgen Repositorys für Systemsicherheit, denn sie analysieren und bestimmen, welche Software-Versionen am besten mit dem Betriebssystem und anderen installierten Programmen funktionieren. Enthält ein Repository allerdings Malware wie ThiefQuest, beeinflusst der Schädling die beschriebene Funktionsweise erheblich.
Funktionsweise von ThiefQuest
Obwohl es nicht die primäre Angriffsmethode ist, enthält ThiefQuest sogar Funktionen eines Verschlüsselungstrojaners. Statt reiner Verschlüsselung setzt die Malware jedoch mehr auf Keylogging und demzufolge Datendiebstahl.
ThiefQuest macht sich ausserdem mit seiner fortschrittlichen Erkennung von Antiviren-Programmen einen Namen. Es scannt den Computer auf vorhandene Sicherheitstools und umgeht sie gekonnt.
Die Malware enthält teilweise weitere Funktionen, um infizierte Zieldateien in anderen versteckten Ordner zu speichern. So bemerken weder Antivirus-Software noch der Benutzer etwas von der Infektion.
Damit leider nicht genug: der Schädling lädt, erst einmal aktiv, weitere Dateien nach, die ebenfalls schädliche Codes enthalten und ausführen.
Was ist Keylogging?
Diese Form von Malware protokolliert sämtliche Eingaben des Benutzers. Es speichert sie, um sie später zu rekonstruieren. So gelangt ThiefQuest an vertrauliche Daten, unter anderem Passwörter. Gewieft ist auch, dass viele ähnliche Malware-Vertreter ganz gezielt auf spezifische Eingaben warten, etwa Logins im Online-Banking. Das funktioniert anhand von vor-definierten Schlüsselwörtern der Schadsoftware-Entwickler.
Apple geht gegen ThiefQuest vor
Wird Malware erst einmal entdeckt und dementsprechend bekannt, arbeiten viele Sicherheitsforscher an passenden Lösungen. So stellte Apple mit dem Sicherheitsupdate Version 2125 (für XProtect) eine Signatur bereit, die ThiefQuest angeblich erkennt.
Der Dienst GitHub war ebenso fleissig – er stellt auf seiner Homepage Tools zur Entschlüsselung von mit ThiefQuest infizierter Dateien bereit.