Bereits seit einiger Zeit gibt es die Möglichkeit für den aufstrebenden Nachwuchserpresser ohne Programmierkenntnisse, sich über einen Hidden-Service im Tor-Netzwerk eine eigene Ransomware zusammen zu klicken und so auch Teil einer nicht tot zu kriegenden Branche zu werden, die ihr Geld frei von moralischen Bedenken mit der Dummheit oder Sorglosigkeit (manchmal auch beides) von Anwendern verdient.

Natürlich – wie bei solchen Modellen üblich – kassiert der Anbieter dieses praktischen Service-Modells mit, im Fall von Satan geht es da um einen App-Store-üblichen Anteil von 30%. Andererseits: Was sind schon 30%, wenn man selbst nicht in der Lage ist, so einen Schädling zu programmieren und zu verbreiten? Eben.

Sehr zum Leidwesen der angehenden Digitalerpresser, gab es aber bislang keine Möglichkeit sich passende Schädlinge für macOS zusammenbauen zu lassen. Das ist natürlich schade, denn angeblich gehören Apple-Nutzer zur zahlungswilligeren Kundschaft – nicht nur beim Kauf von Apps und Inhalten, sondern auch, wenn es darum geht, die eigenen Daten aus der digitalen Geiselhaft eines Erpressers zu befreien – bis zu $26.500 wollen die Macher von MacRansom in einem Fall von einem Mac-Nutzer erhalten haben. Hier liegt also ein nicht zu verachtendes Umsatzpotential brach, es verwundert also ein wenig, dass sich erst jetzt Entwickler finden, die entsprechende Schädlinge für macOS anbieten. Aber immerhin haben sie diese Lücke auf dem Mac-Softwaremarkt identifiziert und den Bedarf entdeckt.

Angeboten werden zwei Tools: MacSpy und MacRansom, die schon durch ihre Namen ganz gut verraten, was sie denn tun. Oder tun sollen.

MacSpy

Bei MacSpy handelt es sich um eine typische Spyware. Einmal auf dem Zielrechner installiert, kann man regelmäßige Screenshots anfertigen lassen, Tastatureingaben mitloggen, zur iCloud gesyncte Fotos abfangen, über das Mikro aufnehmen, was rund um den Mac so gesprochen wird und so weiter. Dies Basisversion gibt es kostenlos, für erweiterte Funktionen, wie ein tägliches Archiv aller Dateien des Tages, kürzere Abstände zwischen den Screenshots, Zugriff auf Mails und nicht zu vergessen Code Signing. Ja, gerade der letzte Punkt ist so eine Sache, denn nicht signierte Binaries sind unter macOS natürlich gerne mal ein Problem. Andererseits sind die Entwickler solcher Malware ja doch eher bescheidene Menschen, die ihren Namen nicht so gerne in der Öffentlichkeit sehen, da kann man für ein ordentlich signiertes Schadprogramm schon ein paar Bitcoin-Bruchteile extra verlangen. Schließlich ist es nicht ganz einfach, an fremde Entwicklerzertifikate zu kommen, so ein zusätzlicher Aufwand muss ja auch bezahlt werden.

Aber das Geld verdienen mit solcher Spyware ist doch recht aufwändig. Man muss den Rechner erst einmal infizieren, dann hoffen, irgendwelche Daten abgreifen zu können, die sich irgendwie zu Geld machen lassen. Das kostet Zeit und nicht jeder möchte diese Zeit investieren – da trifft es sich gut, dass die Entwickler auch einen Verschlüsslungstrojaner im Angebot haben:

MacRansom

Das Geschäftsmodell von Ransomware ist grandios simpel und verspricht sichere Einnahmen, so lange noch zu viele Nutzer mit dem Thema „Backup“ auf Kriegsfuß stehen. Wird ein Rechner infiziert, dann werden die Dateien darauf verschlüsselt und nur gegen Zahlung eines kleinen Unkostenbeitrags werden diese Dateien wieder entschlüsselt. Ist ja auch nur fair, schließlich kostet die Entwicklung solcher Software Zeit und die muss ja jemand bezahlen.

Und wer bezahlt für Software? Genau, der Nutzer. Dass der Nutzer diese Software vielleicht gar nicht nutzen wollte? Nicht wichtig: genutzt ist genutzt. Außerdem sind 0,25 Bitcoins (etwa $700) ja nun wirklich nicht zu viel verlangt für all die schönen Dateien. Wäre doch schade, wenn diese Dateien auf ewig durch die Verschlüsselung verloren wären… Leider, wie bereits erwähnt, war Ransomware bislang hauptsächlich auf Windows-Plattformen beschränkt. Dies soll MacRansom nun also im großen Stil ändern.

Leider scheint MacRansom aber entgegen der Zusicherung der Entwickler gar nicht in der Lage zu sein, die verschlüsselten Dateien wieder zu entschlüsseln. Das ist natürlich nicht besonders schön für die Opfer, aber die merken das auch erst nach ihrer Zahlung. Für den angehenden Cyber-Erpresser ist dieser kleine Schönheitsfehler also gar nicht so schlimm.

Noch nicht perfekt, aber ein erster Schritt

Leider sind beide Programm bei weitem noch nicht perfekt. So verzichtet MacRansom auf eine automatische Verbreitungsroutine. Zwar bieten die Entwickler an, eine solche gegen Aufpreis zu integrieren, aber wenn man den Windows-Markt für Ransomware betrachtet, dann stellt man fest, dass hier keine Ransomware mehr ohne entsprechende Verbreitungsmechanismen kommt.

So muss man doch, wie auch bei MacSpy wieder selbst die Installation übernehmen oder sich Wege überlegen, die Nutzer zur Ausführung des Programms zu animieren. So eignet sich MacRansom aktuell leider nur, um Geld von Kollegen, Bekannten, Freunden und Verwandten zu erpressen – eben Menschen, an deren Mac man ran kommt für die Installation.

Auch lässt die Website des Anbieters noch viel Raum für Verbesserungen: Während man sich bei Satan den Schädling sehr übersichtlich und nutzerfreundlich zusammen klicken kann, muss man mit den Entwicklern von MacSpy und MacRansom doch tatsächlich kommunizieren. Das gibt natürlich Punktabzug, schließlich will man ja Geld verdienen und nicht mit irgendwelchen Entwicklern Mails austauschen.

Zwar antworten diese in den Tests durchaus in vernünftiger Zeit, aber angesichts der Features, die Satan liefert, erscheint der gleiche 30%-Anteil hier doch etwas hoch. Auch angesichts der Tatsache, das die Tools laut Analysen eher schlecht programmiert wurden.

Schade, hier wurde eine echte Chance vertan, endlich auch in diesem Bereich auf den Windows-Markt aufzuschließen. Aber immerhin bleibt die Entwicklung auch bei macOS nicht stehen und möglicherweise entdecken noch weitere Entwickler das Potential von Erpressungstrojanern und Spyware für den Mac, so dass bald auch auf der Mac-Plattform jeder Geld verdienen kann, der zwar keinerlei Programmierkenntnisse, aber dafür genauso wenig Gewissen hat.

via Heise

Nur zur Sicherheit: Ja, der Text enthält Sarkasmus.