in

El nuevo Mac Ransomware es aún más siniestro de lo que parece

El nuevo Mac Ransomware es aún más siniestro de lo que parece

La amenaza de El ransomware puede parecer ubicuo, pero no ha habido demasiadas cepas diseñadas específicamente para infectar las computadoras Mac de Apple desde que apareció el primer ransomware Mac completo hace solo cuatro años. Entonces, cuando Dinesh Devadoss, investigador de malware de la empresa K7 Lab, hallazgos publicados el martes sobre un nuevo ejemplo de ransomware Mac, ese solo hecho fue significativo. Sin embargo, resulta que el malware, que los investigadores ahora llaman ThiefQuest, se vuelve más interesante a partir de ahí. (Los investigadores lo llamaron originalmente EvilQuest, hasta que descubrieron la serie de juegos Steam del mismo nombre).

Además del ransomware, ThiefQuest tiene un conjunto completo de capacidades de software espía que le permiten filtrar archivos de una computadora infectada, buscar contraseñas y datos de billetera de criptomonedas en el sistema, y ​​ejecutar un registrador de teclas robusto para obtener contraseñas, números de tarjetas de crédito u otros información financiera a medida que el usuario la ingresa. El componente de software espía también acecha persistentemente como una puerta trasera en los dispositivos infectados, lo que significa que permanece incluso después de que se reinicia la computadora y podría usarse como plataforma de lanzamiento para ataques adicionales o de “segunda etapa”. Dado que, para empezar, el ransomware es tan raro en Mac, este golpe uno-dos es especialmente notable.

“Mirando el código, si separa la lógica del ransomware de todas las demás lógicas de puerta trasera, las dos partes tienen mucho sentido como malware individual. Pero compilarlas juntas es como qué?” dice Patrick Wardle, investigador principal de seguridad de Jamf, empresa de gestión de Mac. “Mi presentimiento actual sobre todo esto es que alguien básicamente estaba diseñando una pieza de malware para Mac que les daría la capacidad de controlar de forma completamente remota un sistema infectado. Y luego también agregaron alguna capacidad de ransomware como una forma de ganar dinero extra. “

Aunque ThiefQuest está repleto de características amenazadoras, es poco probable que infecte su Mac en el corto plazo a menos que descargue software pirateado y no autorizado. Thomas Reed, director de Mac y plataformas móviles de la empresa de seguridad Malwarebytes, descubrió que ThiefQuest se distribuye en sitios de torrents con software de marca, como la aplicación de seguridad Little Snitch, el software de DJ Mixed In Key y la plataforma de producción musical Ableton. Devadoss de K7 señala que el malware en sí está diseñado para parecerse a un “programa de actualización de software de Google”. Sin embargo, hasta ahora, los investigadores dicen que no parece tener una cantidad significativa de descargas, y nadie ha pagado un rescate por la dirección de Bitcoin que proporcionan los atacantes.

Para que su Mac se infecte, necesitaría descargar un instalador comprometido y luego descartar una serie de advertencias de Apple para ejecutarlo. Es un buen recordatorio para obtener su software de fuentes confiables, como desarrolladores cuyo código está “firmado” por Apple para demostrar su legitimidad, o de la propia App Store de Apple. Pero si usted es alguien que ya hace torrents de programas y está acostumbrado a ignorar las banderas de Apple, ThiefQuest ilustra los riesgos de ese enfoque.

Apple se negó a comentar para esta historia.

Aunque ThiefQuest tiene un amplio conjunto de capacidades para fusionar ransomware con spyware, no está claro para qué fines, particularmente porque el componente de ransomware parece incompleto. El malware muestra una nota de rescate que exige el pago, pero solo muestra una dirección de Bitcoin estática a la que las víctimas pueden enviar dinero. Dadas las características de anonimato de Bitcoin, los atacantes que pretenden descifrar los sistemas de una víctima al recibir el pago no tendrían forma de saber quién ya había pagado y quién no. Además, la nota no incluye una dirección de correo electrónico que las víctimas puedan utilizar para comunicarse con los atacantes sobre la recepción de una clave de descifrado, otra señal de que el malware no puede ser un ransomware. Wardle de Jamf también descubrió en su análisis que, si bien el malware tiene todos los componentes que necesitaría para descifrar los archivos, no parece que estén configurados para funcionar en la naturaleza.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Estas son algunas cosas que puede hacer cuando su teléfono está desconectado

Estas son algunas cosas que puede hacer cuando su teléfono está desconectado

Cómo hacer bobinas para dedos