Nel corso delle ultime ore gli esperti di Palo Alto Networks hanno fatto la scoperta di KeRanger, ovvero il primo ransomware per OS X. Il malware è stato scovato all’interno dell’installer di Transmission, pubblicato sul sito ufficiale del famoso programma.
Per chi non ne fosse a conoscenza ricordiamo che i ransomware sono una tipologia di malware, ben nota in ambiente Windows, utilizzata dai cybercriminali per chiedere un riscatto, dopo aver bloccato l’accesso ai file sfruttando la crittografia. Uno dei ransomware più diffusi sui sistemi operativi di casa Redmond è ad esempio Cryptolocker.
Per quanto riguarda la scoperta fatta su OS X Palo Alto Networks ha spiegato che KeRanger va a configurarsi come il primo ransomware effettivamente funzionante per Mac. Lo schema è sempre lo stesso: i file memorizzati sul computer vengono cifrati e per sbloccare l’accesso viene chiesto un riscatto, quasi sempre in Bitcoin. Nel caso di KeRanger, la somma da pagare per ottenere la chiave crittografia è 1 Bitcoin, circa 375 euro al cambio attuale.
Per riuscire nel loro intento i cybercriminali hanno dunque compromesso il sito del Transmission Project ed i file DMG sono stati sostituiti dalle versioni contenenti KeRanger. Il malware è stato firmato con un certificato valido, quindi non rilevabile dalla protezione Gatekeeper di Apple. Il ransomware attende tre giorni prima di effettuare una connessione ai server C&C (command-and-control) sulla rete Tor, quindi inizia a cifrare documenti, immagini, audio, video, email, database e archivi, utilizzando chiavi AES e RSA.
Se ne deduce quindi che gli utenti che hanno scaricato Transmission tra le 11:00 PST del 4 marzo e le 7:00 PST del 5 marzo hanno installato anche il malware KeRanger. Ad ogni modo al momento non c’è più nulla di cui preoccuparsi poiché Apple ha revocato il certificato fasullo e aggiornato l’antivirus XProtect. Trasmissione Project ha invece pubblicato la versione 2.92 del client BitTorrent.
[Photo Credits | rzoze19 / Shutterstock.com]
Via | Reuters