Ransomware para OS X encontrado en software legítimo
Investigadores de Palo Alto han descubierto el primer ransomware completamente funcional destinado a usuarios de Mac.
El malware, conocido como KeRanger, ha sido encontrado el pasado viernes en la aplicación Transmission BitTorrent para Mac y estaba disponible a través del sitio web oficial. Parece probable que el sitio web fue comprometido y los archivos fueron substituidos por nuevas compilaciones con versiones maliciosas del cliente de Bittorrent.
Ahora el sitio muestra una alerta diciendo que la versión 2.90 se encuentra infectada y debe actualizarse inmediatamente a la version 2.92. Esta nueva versión también incluye una herramienta de eliminación para el ransomware KeRanger, que permite eliminar automáticamente el archivo infectado.
KeRanger funciona como la mayoría de este tipo de malware para Windows y Linux: se pone en contacto con los servidores C&C a través de la red Tor para recibir la clave de cifrado. Luego cifra los archivos del equipo infectado (documentos, imágenes, archivos de audio y videos, archivos, código fuente, bases de datos, correos electrónicos y certificados) y pide a la víctima el pago del rescate a través de 1 bitcoin (unos 400 dólares) para recuperar sus archivos.
Algunas cosas interesantes sobre KeRanger:
Por su parte, Apple ha revocado el certificado malicioso y actualizado las firmas de XProtect, lo cual permite advertir a los usuarios que intenten instalar malware.
Fuente: HelpNetSecurity
El malware, conocido como KeRanger, ha sido encontrado el pasado viernes en la aplicación Transmission BitTorrent para Mac y estaba disponible a través del sitio web oficial. Parece probable que el sitio web fue comprometido y los archivos fueron substituidos por nuevas compilaciones con versiones maliciosas del cliente de Bittorrent.
Ahora el sitio muestra una alerta diciendo que la versión 2.90 se encuentra infectada y debe actualizarse inmediatamente a la version 2.92. Esta nueva versión también incluye una herramienta de eliminación para el ransomware KeRanger, que permite eliminar automáticamente el archivo infectado.
KeRanger funciona como la mayoría de este tipo de malware para Windows y Linux: se pone en contacto con los servidores C&C a través de la red Tor para recibir la clave de cifrado. Luego cifra los archivos del equipo infectado (documentos, imágenes, archivos de audio y videos, archivos, código fuente, bases de datos, correos electrónicos y certificados) y pide a la víctima el pago del rescate a través de 1 bitcoin (unos 400 dólares) para recuperar sus archivos.
- Su codigo fuente está basado en el troyano Linux.Encoder
- El paquete de descarga pretende ser un archivo RTF.
- Está firmado con un certificado válido de Mac App, lo que le permite eludir a Gatekeeper de Apple.
- No entra en acción inmediatamente, sino que espera tres días antes de iniciar el proceso de cifrado de archivos.
- Hay indicios de que el malware está todavía en desarrollo y que en el futuro será capaz de abrir una puerta trasera en el sistema comprometido, para cifrar archivos de backup de Time Machine.
Por su parte, Apple ha revocado el certificado malicioso y actualizado las firmas de XProtect, lo cual permite advertir a los usuarios que intenten instalar malware.
Fuente: HelpNetSecurity
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!