El nuevo Mac Ransomware es aún más siniestro de lo que parece

El nuevo Mac Ransomware es aún más siniestro de lo que parece

La amenaza de El ransomware puede parecer omnipresente, pero no ha habido demasiadas cepas diseñadas específicamente para infectar las computadoras Mac de Apple desde que primer ransomware Mac completo surgió hace solo cuatro años. Entonces, cuando Dinesh Devadoss, un investigador de malware en la firma K7 Lab, resultados publicados el martes sobre un nuevo ejemplo de ransomware Mac, ese hecho solo fue significativo. Sin embargo, resulta que el malware, que los investigadores ahora llaman ThiefQuest, se vuelve más interesante a partir de ahí. (Los investigadores originalmente lo llamaron EvilQuest, hasta que descubrieron la serie de juegos Steam del mismo nombre).

Además del ransomware, ThiefQuest tiene otro conjunto de capacidades de software espía que le permiten filtrar archivos de una computadora infectada, buscar contraseñas y datos de billetera de criptomonedas y ejecutar un registrador de teclas robusto para obtener contraseñas, números de tarjetas de crédito u otros información financiera a medida que el usuario la ingresa. El componente de software espía también se esconde persistentemente como puerta trasera en los dispositivos infectados, lo que significa que permanece incluso después de que se reinicia una computadora, y podría usarse como plataforma de lanzamiento para ataques adicionales o de «segunda etapa». Dado que el ransomware es tan raro en Macs para empezar, este golpe doble es especialmente notable.

«Mirando el código, si separas la lógica del ransomware de todas las demás lógicas de puerta trasera, las dos piezas tienen sentido como malware individual. Pero compilarlas juntas es como ¿qué?» dice Patrick Wardle, investigador principal de seguridad de la firma de gestión de Mac Jamf. «Mi intuición actual acerca de todo esto es que alguien básicamente estaba diseñando una pieza de malware para Mac que les daría la capacidad de controlar completamente de forma remota un sistema infectado. Y luego también agregaron algunas capacidades de ransomware como una forma de ganar dinero extra». »

Aunque ThiefQuest está repleto de características amenazantes, es poco probable que infecte su Mac en el corto plazo, a menos que descargue software pirateado y no protegido. Thomas Reed, director de Mac y plataformas móviles en la firma de seguridad Malwarebytes, encontró que ThiefQuest se distribuye en sitios de torrents incluidos con software de marca, como la aplicación de seguridad Little Snitch, el software de DJ Mixed In Key y la plataforma de producción musical Ableton. Devadoss de K7 señala que el malware en sí está diseñado para parecerse a un «programa de actualización de software de Google». Hasta ahora, sin embargo, los investigadores dicen que no parece tener un número significativo de descargas, y nadie ha pagado un rescate por la dirección de Bitcoin que proporcionan los atacantes.

Para que su Mac se infecte, necesitará descargar un instalador comprometido y luego descartar una serie de advertencias de Apple para ejecutarlo. Es un buen recordatorio para obtener su software de fuentes confiables, como los desarrolladores cuyo código está «firmado» por Apple para demostrar su legitimidad, o de la propia App Store de Apple. Pero si eres alguien que ya torrents programas y está acostumbrado a ignorar las banderas de Apple, ThiefQuest ilustra los riesgos de ese enfoque.

Apple se negó a comentar para esta historia.

Aunque ThiefQuest tiene un amplio conjunto de capacidades para fusionar ransomware con spyware, no está claro para qué termina, particularmente porque el componente de ransomware parece incompleto. El malware muestra una nota de rescate que exige el pago, pero solo enumera una dirección estática de Bitcoin donde las víctimas pueden enviar dinero. Dadas las características de anonimato de Bitcoin, los atacantes que tenían la intención de descifrar los sistemas de una víctima al recibir el pago no tendrían forma de saber quién había pagado y quién no. Además, la nota no enumera una dirección de correo electrónico que las víctimas pueden usar para comunicarse con los atacantes sobre la recepción de una clave de descifrado, otra señal de que el malware puede no ser pensado como ransomware. Jamle’s Wardle también encontrado en su analisis que si bien el malware tiene todos los componentes que necesitaría para descifrar los archivos, no parecen estar configurados para funcionar realmente en la naturaleza.

Deja un comentario

Tu dirección de correo electrónico no será publicada.