7 mar. 2016

Ransomware para OS X encontrado en software legítimo

Investigadores de Palo Alto han descubierto el primer ransomware completamente funcional destinado a usuarios de Mac.

El malware, conocido como KeRanger, ha sido encontrado el pasado viernes en la aplicación Transmission BitTorrent para Mac y estaba disponible a través del sitio web oficial. Parece probable que el sitio web fue comprometido y los archivos fueron substituidos por nuevas compilaciones con versiones maliciosas del cliente de Bittorrent.

Ahora el sitio muestra una alerta diciendo que la versión 2.90 se encuentra infectada y debe actualizarse inmediatamente a la version 2.92. Esta nueva versión también incluye una herramienta de eliminación para el ransomware KeRanger, que permite eliminar automáticamente el archivo infectado.

KeRanger funciona como la mayoría de este tipo de malware para Windows y Linux: se pone en contacto con los servidores C&C a través de la red Tor para recibir la clave de cifrado. Luego cifra los archivos del equipo infectado (documentos, imágenes, archivos de audio y videos, archivos, código fuente, bases de datos, correos electrónicos y certificados) y pide a la víctima el pago del rescate a través de 1 bitcoin (unos 400 dólares) para recuperar sus archivos.
Algunas cosas interesantes sobre KeRanger:
  • Su codigo fuente está basado en el troyano Linux.Encoder
  • El paquete de descarga pretende ser un archivo RTF.
  • Está firmado con un certificado válido de Mac App, lo que le permite eludir a Gatekeeper de Apple.
  • No entra en acción inmediatamente, sino que espera tres días antes de iniciar el proceso de cifrado de archivos.
  • Hay indicios de que el malware está todavía en desarrollo y que en el futuro será capaz de abrir una puerta trasera en el sistema comprometido, para cifrar archivos de backup de Time Machine.
"Los usuarios que hayan descargado e instalado Transmission BitTorrent desde el sitio web oficial después de las 11:00 am PST del 04 de marzo de 2016 y antes de 7:00 p.m. PST del 05 de marzo de 2016, pueden haber sido infectados por KeRanger", advierten los investigadores Alto Palo.

Por su parte, Apple ha revocado el certificado malicioso y actualizado las firmas de XProtect, lo cual permite advertir a los usuarios que intenten instalar malware.

Fuente: HelpNetSecurity

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!