EvilQuest: Schadsoftware verbreitet sich durch Ableton Live und Mixed Key?

1. Juli 2020

Illegale Downloads sperren die Festplatte

evil quest virus software mac

EvilQuest: Schadsoftware verbreitet sich durch Ableton Live und Mixed Key?

Laut einem Bericht der IT-Experten von „Malwarebytes“ ist derzeit eine Schadsoftware namens EvilQuest im Umlauf. Entgegen der sonst auf PCs fokussierte Schadsoftware sind diesmal Mac-User betroffen. Hat man sich die Software eingefangen, verschlüsselt diese die Festplatte des Computers, so dass der Nutzer nicht mehr auf seine Daten zugreifen kann. Danach erscheint ein Hinweis, der eine Aufforderung zur Zahlung von 50,- US-Dollar enthält. Verweigert man die Zahlung, bleibt der Zugang zu den persönlichen Dokumenten, Videos, Fotos und mehr dauerhaft verwehrt.

Gezahlt werden soll in Bitcoin, das Angebot sei drei Tage gültig. Ob man seine Dokumente aber nach der Zahlung wirklich zurückbekommt, sei mal dahingestellt. Denn wenn die Hacker einmal Lunte gerochen und den Betrag erhalten haben, werden sie mit Sicherheit versuchen, noch mehr Profit daraus zu schlagen. Oder wie im Falle von EvilQuest weitere Aktionen zu planen: Denn neben der eigentlichen Schadsoftware, die zur Sperrung der eigenen Festplatten führt, durchsucht EvilQuest alle Dateien mit Bezeichnungen wie wallet.pdf, wallet.png oder key.png, also alles Dateien, die im Zusammenhang mit Kryptowährungen wie Bitcoin stehen. Was die Schadsoftware damit anstellt, ist derzeit aber noch unklar.

Von EvilQuest sind nur Mac-Computer betroffen

Das ist aber noch nicht alles. Zusätzlich fängt man sich dank EvilQuest einen Keylogger ein. Dabei handelt es sich um ein Programm, das die Texteingaben des Users speichert und hierdurch sensible Daten wie Zugangsdaten zu Online-Banking Portalen nach außen übermittelt werden können. Auch ein Reverse Shell, d. h. eine Software, mit der sich die Firewall des Computers umgehen lässt und damit eine Fernsteuerung von außen zulässt, gehört zum „Repertoire“ von EvilQuest.

Doch wie fängt man sich EvilQuest überhaupt ein? Laut Malwarebytes wurde die Schadsoftware vermehrt auf russischen Webseiten gefunden, die illegale Raubkopien zum Download anbieten. Unter anderem in gecrackten Versionen von Ableton Live, der DJ-Software Mixed Key oder der Netzwerkanalyse-Software Little Snitch ist die Schadsoftware aufgetaucht. Aber auch als Google-Software-Update getarnt hat sich EvilQuest bereits auf Festplatten eingenistet.

Ableton Live 10

U.a. in illegalen Raubkopien von Ableton wurde die Schadsoftware gefunden

Hat man sich die Schadsoftware einmal auf den Computer geladen, hilft im Prinzip nur das Aufspielen eines kompletten Backups – das man hoffentlich schön regelmäßig macht. Ansonsten wird es schwierig, denn bisher ist noch nicht klar, mit welcher Methode EvilQuest die Festplatte des Macs verschlüsselt.

Am Ende steht der Aufruf, keine illegalen Raubkopien auf dem Rechner zu installieren und zu nutzens. Erstens schadet dies der Industrie an sich, zweitens wird man ansonsten wohl oder übel immer wieder mit solcher Schadsoftware zu kämpfen haben.

Forum
  1. Profilbild
    cosmolab  

    Lieber Felix,
    naja – also die Wahl der Überschrift („Illegale Kopien sperren die Festplatte“) is scho a´weng grenzwertig. Es wirkt (so für sich allein) ein wenig wie die obligatorische Warnung an kleine Kinder, die ihren Spinat nicht essen wollen. ;-)

    Besonders unglücklich wirkt es dadurch, dass man ja die Hauptüberschrift in ROT (in der angedeutet werden will, worum es eigentlich geht) erst dann zu lesen bekommt, wenn man den Artikel aufruft.

    Wobei deren Text („EvilQuest: Schadsoftware verbreitet sich durch Ableton Live und Mixed Key?“) bei näherer Betrachtung noch viel unglücklicher ist, denn Ableton Live hat nun wirklich keine Schuld an EvilQuest… ;-)

    Der eigentliche Gag, der das Ganze vielleicht überhaupt zur Meldung werden liess, geht aber völlig unter – obwohl er die Sache ingesamt besser einordnen hilft: Die Malware „Evilquest“, um die es eigentlich geht, ist nämlich offenbar so grottenschlecht gemacht, dass sie es zumeist nicht mal schafft, die Erpressermeldung korrekt auf den Bildschirm zu kriegen… :-))

    Wer wissen will, was da wirklich passiert ist, kann sich mal das hier durchlesen. Dort wird für meine Begriffe deutlich klarer, was eigentlich genau das Thema war:
    https://www.heise.de/news/Neue-Mac-Ransomware-kursiert-in-illegalen-Kopien-4800485.html

    • Profilbild
      TobyB  RED

      Man könnte aus der heise.de Überschrift auch implizieren, es gebe legale Ransomware, wenn die Kopie legal ist. ;-) Ich weiß jetzt nicht ob ich bei der eigentlichen Nachricht lachen oder weinen soll. Man zieht eine offensichtliche Raubkopie ab, die enthält grob gestrickte Verschlüsselungsroutinen. Der Erpressungsversuch scheitert, weil der Erpresste die Nachricht nicht bekommt. Autsch! Nun zum Opfer, der macht seinen Mac in der Systemsteuerung auf und erlaubt explizit die Installation, wenn der nun gleichzeitig noch der Admin der Kiste war. Gute Nacht.
      _
      Moss: This is the internet! Jen: The complete internet?
      Roy and Moss: The elders of the internet know who you are.
      https://bit.ly/2YYEce2

  2. Profilbild
    Aljen  

    Bravo, brava, bravissima… In Zeiten von Cloud-Dokumenten, Remote Backups, NAS und mehreren Geräten pro Nase wirklich eine grandiose, einträchtige Idee, mit dem ollen Ransom-Encrypt. Da hat wohl jemand viel Stollitschnaya mit Dichloffos genossen. ;-) Oder gleich Krokodil gesnieft?

    Auf der anderen Seite… tja, wer heutzutage immer noch nach „w@r3z“ aus ist: selber schuld. Ich hatte mal vor einigen Jahren einen Nachbarn, seines Zeichens hauptberuflich DJ (kein schlechter, IMHO) – der Bursche hatte grundsätzich nur geklaute Software auf seiner (Windoof)-Kiste. Das ging so weit, dass er den Musik-Produktionsrechner prinzipiell nicht ans LAN, geschweige denn internet, ließ. Dafür hatte er eine zweite WinDOSe mit allem Drum und Dran. Windows-Lizenz auch Fehlanzeige, damals kosteten OSe (auch Mac OS) noch Geld. Der Jung‘ lebte ständig in Angst, dass ihm eines N8ts der Freund und Helfer die Hütte stürmt. Für all die Sicherheitsvorkehrungen hätte er längst einen Mac samt kompletter Produktionssoftware haben können…

Kommentar erstellen

Die AMAZONA.de-Kommentarfunktion ist Ihr Forum um sich persönlich zu den Inhalten der Artikel auszutauschen. Sich daraus ergebende Diskussionen sollten höflich und sachlich geführt werden. Haben Sie eigene Erfahrungen mit einem Produkt gemacht, stellen Sie diese bitte über die Funktion Leser-Story erstellen ein. Für persönliche Nachrichten verwenden Sie bitte die Nachrichtenfunktion im Profil.