Bisher sind Mac-Anwender auf der sicheren Seite, was Erpressungstrojaner betrifft. Bösartige Software, die unter dem Namen LockBit, WannaCry oder Petya die Datenbestände eines Rechners verschlüsseln, um sie erst nach Lösegeldzahlung wieder zu entschlüsseln, waren bisher Windows-Rechnern vorbehalten. Spuren im Netz, die zwei voneinander unabhängige Teams von Sicherheitsforschern entdeckten, deuten auf organisierte Bestrebungen hin, eine auf Apple-Rechner spezialisierte Software zu entwickeln, um deren Inhalte zu verschlüsseln und anschließend übers Netz zu verschicken.


Vor gut einer Woche berichteten Sicherheitsforscher von Trend Micro von einer offenbar unvollständigen Ransomware, welche in der Programmiersprache Go verfasst ist. Zum Datenaustausch verwendet sie Cloud-Speicher von Amazon Web Services (AWS S3). Der Erpressungstrojaner besitze Funktionen, sowohl auf Windows- als auch auf Mac-Rechnern Nutzerdaten zu verschlüsseln und Desktop-Hintergrundbilder zu verändern, berichten die Forscher. Der injizierte Bildschirmhintergrund erwähne LockBit – etwas verwirrend, da deren Entwickler mittlerweile gefasst wurden. Die notwendigen Anmeldedaten für den Upload auf Cloud-Speicher waren im Quellcode fest eingebaut. Trend Micro kontaktierte daraufhin AWS, woraufhin dieses Nutzerkonto gesperrt wurde.

Sentinel-Analyse offenbart mehrmonatige Entwicklung
Sicherheitsforscher von Sentinel One nahmen diesen Bericht zum Anlass, eigene Forschungen anzustellen. Sie durchforsteten die VirusTotal-Datenbank und entdeckten eine Spur, welche wahrscheinlich Hintergrund des Trend-Micro-Berichts gewesen ist. Durch gezielte Analyse ließen sich zudem Vorläufer der aktuellen Version aufspüren. Offenbar sind übereinstimmende Code-Fragmente bereits in Malware-Proben aufgetaucht, die im Januar 2024 kursierten. Sie zielten noch auf macOS Ventura ab, während die fortgeschrittenere Variante mindestens macOS Sonoma erfordere. Zudem sei der Code auf Intel-Prozessoren zugeschnitten. Die entsprechenden Datenbankeinträge sind allerdings keine Neuigkeit – laut Sentinel wurden sie bereits im Mai bei VirusTotal hochgeladen.

macOS-Rechtemanagement sollte Schlimmes verhindern
In den Software-Fragmenten tauchten zwar Funktionen auf, welche macOS-Dateien sammeln und verschlüsseln könnten. Allerdings war der Code nicht mit einer Entwicklersignatur versehen. System Integrity Protection (SIP) von macOS sollte verhindern, dass unbedarfte Mac-Anwender ein solches Programm ausführen könnten. Zudem müsste ein Programm Festplattenvollzugriff einfordern, um aus der eigenen Sandbox auszubrechen und App-fremde Dateien zu lesen oder gar zu ändern. Eine wirkliche Gefahr für Mac-Anwender könnte ein solcher Trojaner nur in zwei Fällen darstellen:

• Die Malware-Entwickler haben Zero-Day-Lücken für macOS in der Hinterhand, um beide Sicherheitsmaßnahmen auszuhebeln.
• Der Trojaner überzeugt Anwender davon, SIP zu deaktivieren. Das wäre ein mehrstufiger Prozess, der einen Neustart nebst Eingabe von Terminalbefehlen erfordert. Obendrein müssten potenzielle Opfer unter Einstellungen/Datenschutz & Sicherheit der installierten App Festplattenvollzugriff gewähren.