Primeiro ataque de ransomware para Mac detectado em cliente para BitTorrent

CyberwarEscritórioMacSegurança
0 0 Sem Comentários

Investigadores da Palo Alto Networks detectaram este fim-de-semana a primeira infecção ransomware para OS X, o sistema operativo dos computadores Macintosh da Apple. Quem instalou o cliente BitTorrent Transmission entre 4 e 5 de março poderá ter sido infectado pelo KeRanger, nome escolhido para esta ameaça.

De acordo com a publicação dos investigadores Claud Xiao e Jin Chen no centro de pesquisa da Palo Alto Networks, o ransomware foi descoberto no instalador do Transmission e é o primeiro deste tipo para OS X que está totalmente operacional. A Kaspersky Lab detectou um código malicioso com o mesmo propósito em 2014, o FileCoder, mas não estava completo quando foi interceptado. “Acreditamos que o KeRanger é o primeiro ransomware totalmente funcional visto na plataforma OS X”, escrevem os especialistas.

Os atacantes infectaram dois instaladores da versão 2.90 do Transmission na manhã de 4 de março. Quando os investigadores identificaram o problema, os ficheiros DMG ainda estava disponíveis para baixar no site do cliente BitTorrent.

Se um usuário instalar os aplicativos infectados, um ficheiro executável corre no sistema; o KeRanger espera depois três dias antes de se ligar a servidores comando e controle na rede Tor e começa encriptando alguns documentos e ficheiros no sistema. Depois de completar este processo, pede à vítima o pagamento de uma bitcoin, que vale neste momento cerca de 400 dólares, em troca de um endereço que lhes permitirá recuperar os ficheiros. A Palo Alto Networks refere ainda que o malware tenta escriptar os ficheiros de backup da Time Machine, para que as vítimas não consigam evitar pagar o resgate.

“O Transmission é um projeto open source. É possível que o site oficial tenha sido comprometido e que os ficheiros tenham sido substituídos por versões maliciosas, mas não conseguimos confirmar a forma como esta infecção ocorreu”, indicam. Adicionalmente, o aplicativo KeRanger estava assinado com um certificado de desenvolvimento para Mac válido, o que significa que “conseguiu iludir a proteção Gatekeeper da Apple.”

Como proteger o Mac

Os usuários que baixarem o Transmission a partir do site oficial entre 4 e 5 de março podem ter sido infectados com o KeRanger. A Palo Alto Networks aconselha os seguintes passos:

  1. Usando o Terminal ou Finder, verificar a existência de /Aplicativos/Transmission.app/ Contents/Resources/General.rtf ou /Volumes/Transmission/Transmission.app/ Contents/Resources/General.rtf. Se sim, o aplicativo está infectado e deve ser apagado.
  2. Usando o Monitor de Atividade, verificar se está correndo um processo com a denominação “kernel_service”. Se sim, analisar o processo escolhendo “Portas e ficheiros abertos” e verificar se há um ficheiro com uma designação do tipo “/Users/<username> /Library/kernel_service”. Em caso afirmativo, o usuário deve forçar o encerramento (force quit).
  3. Depois destes passos, a Palo Alto Networks recomenda que o usuário verifique se existe na Biblioteca algum ficheiro com as designações .kernel_pid, .kernel_time, .kernel_complete ou kernel_service e apagar o que encontrar.

A empresa de segurança indica que reportou o problema à Transmission Project e à Apple na sexta-feira. A Apple revogou o certificado e atualizou a assinatura do antivirus Protect, enquanto a Transmission Project removeu os instaladores maliciosos.


Clique para ler a bio do autor  Clique para fechar a bio do autor