junio 20, 2021

El nuevo ransomware para Mac es aún más siniestro de lo que parece

Las letras de Scrabble que se sientan encima de la computadora portátil deletrean Ransomware.

La amenaza del ransomware puede parecer omnipresente, pero no ha habido demasiadas cepas diseñadas específicamente para infectar las computadoras Mac de Apple desde que surgió el primer ransomware Mac de pleno derecho hace solo cuatro años. Entonces, cuando Dinesh Devadoss, un investigador de malware en K7 Lab, resultados publicados El martes, en un nuevo ejemplo de ransomware para Mac, ese hecho solo fue significativo. Sin embargo, resulta que el malware, que los investigadores ahora llaman ThiefQuest, se vuelve más interesante a partir de ahí. (Los investigadores inicialmente lo apodaron EvilQuest hasta que descubrieron la serie de juegos Steam del mismo nombre).

Además del ransomware, ThiefQuest tiene un conjunto completamente nuevo de funciones de software espía que le permiten filtrar archivos de una computadora infectada, buscar contraseñas y datos en las billeteras de criptomonedas y ejecutar un registrador de teclas robusto para adquirir contraseñas y números de tarjetas de crédito. u otra información financiera a medida que el usuario la escribe. El componente de spyware también se oculta de manera persistente como puerta trasera en los dispositivos infectados, lo que significa que también ataca después de reiniciar una computadora y puede usarse como plataforma de lanzamiento para ataques adicionales o de «segundo nivel». Dado que el ransomware es tan raro en Macs para empezar, este golpe doble es particularmente notable.

«Mirando el código, si divide la lógica del ransomware de toda la otra lógica de puerta trasera, las dos piezas tienen perfecto sentido como malware único. Pero compilarlas juntas es un poco como ¿qué?» dice Patrick Wardle, investigador principal de seguridad de la empresa de gestión Mac Jamf. «Mi impresión actual sobre todo esto es que alguien básicamente estaba diseñando malware para Mac que les daría la capacidad de controlar completamente un sistema infectado de forma remota. Y luego también agregaron algunas características de ransomware como una forma de ganar dinero extra». «

Aunque ThiefQuest está lleno de características amenazantes, es poco probable que infecte su Mac en el corto plazo a menos que descargue software pirateado y no controlado. Thomas Reed, director de Mac y plataformas móviles de la compañía de seguridad Malwarebytes, descubrió que ThiefQuest se distribuye en sitios de torrents con software de marca, como la aplicación de seguridad Little Snitch, el software DJ Mixed In Key y el Producción musical de Ableton. Devadoss of K7 señala que el malware en sí está diseñado para aparecer como un «programa de actualización de software de Google». Hasta ahora, sin embargo, los investigadores dicen que no parece tener un número significativo de descargas, y nadie ha pagado un rescate a la dirección de bitcoin proporcionada por los atacantes.

Para que su Mac se infecte, necesitará descargar un instalador comprometido y luego eliminar una serie de advertencias de Apple para ejecutarlo. Es un buen recordatorio para obtener su software de fuentes confiables, como los desarrolladores cuyo código está «firmado» por Apple para demostrar su legitimidad o de la tienda de aplicaciones de Apple. Pero si eres alguien que ya torrents programas y está acostumbrado a ignorar las banderas de Apple, ThiefQuest ilustra los riesgos de tal enfoque.

Apple se negó a comentar sobre esta historia.

¿Qué es lo que quiere?

Aunque ThiefQuest tiene una amplia gama de características para fusionar ransomware con spyware, no está claro qué termina, particularmente porque el componente de ransomware parece incompleto. El malware muestra una nota de rescate que requiere pago, pero solo enumera una dirección de bitcoin estática donde las víctimas pueden enviar dinero. Dadas las características del anonimato de bitcoin, los atacantes que tenían la intención de descifrar los sistemas de una víctima después de recibir el pago no habrían tenido forma de saber quién ya había pagado y quién no. Además, la nota no enumera una dirección de correo electrónico que las víctimas pueden usar para corresponder a los atacantes sobre la recepción de una clave de descifrado, otra señal de que el malware puede no entenderse realmente como ransomware. Wardle de Jamf también descubrió en su análisis que, aunque el malware tiene todos los componentes necesarios para descifrar los archivos, no parecen estar configurados para funcionar realmente en la naturaleza.

Los investigadores también señalan que los atacantes que desean realizar un reconocimiento clandestino con spyware generalmente quieren ser lo más discretos y discretos posible. Agregar ransomware a la mezcla simplemente anuncia la presencia de malware y probablemente cambiaría el comportamiento de un usuario en el dispositivo, porque todos sus archivos están encriptados y ven una nota dramática de rescate en su pantalla. No es una situación en la que pueda realizar compras en línea ocasionales o acceder a su cuenta bancaria. Del mismo modo, el ransomware generalmente no necesita establecer la persistencia en un dispositivo y resistir el reinicio, ya que simplemente necesita iniciar el proceso de cifrado. Cuando un programa se anuncia a sí mismo como malware y luego persiste, la comunidad de seguridad simplemente tiene más probabilidades de etiquetar y analizar el software para bloquearlo en el futuro.

«Creo que si su enfoque principal fuera la exfiltración de datos, querría permanecer en segundo plano, hacerlo lo más silenciosamente posible y tener la mejor oportunidad de no ser atrapado», dice Reed de Malwarebytes. «Así que realmente no entiendo el punto de este ransomware muy ruidoso. Cuando lo instalé para probarlo, cada 30 segundos la computadora me gritaba, emitía un pitido todo el tiempo. Es realmente ruidoso tanto literal como digitalmente».

Esconder

El malware incluye algunas características de ofuscación para ocultarlo. El malware no se ejecutará si detecta ciertas herramientas de seguridad como Norton Antivirus. También se reduce si se abre en un entorno digital que a menudo se usa para pruebas de seguridad, como una caja de arena o una máquina virtual. Y durante el análisis del código en sí, los investigadores dicen que algunos componentes se han ocultado cuidadosamente, por lo que sería difícil entender lo que hacen. Extrañamente, sin embargo, otros fueron dejados afuera para que cualquiera los viera.

Wardle teoriza que el malware puede haber sido diseñado para ejecutar silenciosamente su módulo de spyware primero, recopilar datos valiosos y lanzar ransomware ruidoso solo como un esfuerzo desesperado por recaudar algunos fondos de una víctima antes de continuar. Durante las pruebas, algunos investigadores descubrieron que era más difícil que otros inducir malware para iniciar el cifrado de archivos como parte de su funcionalidad de ransomware, lo que podría respaldar la teoría de Wardle. Pero el malware tiene fallas y por ahora no está claro cuál es la intención real de los desarrolladores.

Dado que el malware se distribuye a través de torrentes, parece centrarse en el robo de dinero y todavía tiene algunos nudos, los investigadores dicen que probablemente fue creado por piratas informáticos criminales en lugar de espías de estados nacionales que intentan realizar espionaje. No es del todo inusual en el ámbito del malware de Windows usar una máscara de ransomware como distracción o bandera falsa. El malware NotPetya, que causó el ciberataque más impactante y costoso de la historia, pretendió ser ransomware después de todo. Sin embargo, dado lo raro que es el ransomware para Mac, es sorprendente ver a ThiefQuest adoptar un enfoque tan oscuro.

Quizás el malware está utilizando el cifrado de archivos característico del ransomware como una herramienta destructiva en un intento de bloquear permanentemente a los usuarios de sus computadoras. O tal vez ThiefQuest solo está tratando de obtener la mayor cantidad de dinero posible de las víctimas. La verdadera pregunta con el ransomware Mac, como siempre, es ¿qué vendrá después?

Esta historia apareció por primera vez en wired.com.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *