Cuatro familias de ransomware afectan a dispositivos macOS: Microsoft

Microsoft publicó el 5 de enero, y luego retractó el 6 de enero, un informe que detallaba cuatro familias de ransomware que afectaban a dispositivos macOS. Cuando se trata de amenazas de ciberseguridad como el ransomware, la mayoría de los sistemas afectados suelen ser Windows o Linux, por lo que la noticia causó revuelo al tratarse de dispositivos macOS.

Cuatro familias de ransomware afectan a dispositivos macOS: Microsoft - Seguridad | Imagen 1 Newsmatic

Pero Patrick Wardle, fundador de Objective-See Foundation, señaló en Twitter que el informe no tenía citas y se alineaba estrechamente con informes similares realizados en su libro The Art of Mac Malware, publicado en julio de 2022.

Microsoft retiró el artículo y se comunicó en un tweet para explicar el motivo de esta eliminación (Figura A), en respuesta a Wardle, sin llegar a disculparse por la publicación.

Figura A

Imagen: Twitter. Comunicación de Microsoft

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Aunque Microsoft retiró la publicación, a continuación se detallan los hallazgos.

Índice de Contenido
  1. La primera etapa de la infección en Mac no es sorprendente
  2. Técnicas de ransomware en Mac
    1. Técnicas anti-análisis utilizadas por MacRansom y EvilQuest
  3. Enumeración de archivos
    1. Binario de línea de comandos 'Find'
    2. Enumeración a través de bibliotecas
  4. El ransomware EvilQuest va más allá
  5. Cómo protegerse de la amenaza del ransomware en macOS

La primera etapa de la infección en Mac no es sorprendente

La infección inicial para instalar ransomware en Mac utiliza los mismos métodos que cualquier otra infección. Los ciberdelincuentes utilizan correo electrónico, aplicaciones falsas o incitan a los usuarios a descargar archivos, que infectarán sus computadoras con malware. El ransomware en Mac también puede llegar a través de cargas útiles de segunda etapa. En ese caso, el ransomware se deposita y se ejecuta en el sistema a través de otro malware o como parte de un ataque de cadena de suministro.

Desde un punto de vista técnico, Microsoft menciona que "los creadores de malware abusan de funcionalidades legítimas y diseñan diversas técnicas para explotar vulnerabilidades, evadir defensas o forzar al usuario a infectar sus dispositivos".

Técnicas de ransomware en Mac

Microsoft utiliza cuatro familias conocidas de ransomware para explicar las técnicas de malware en Mac: KeRanger, FileCoder, MacRansom y EvilQuest.

Técnicas anti-análisis utilizadas por MacRansom y EvilQuest

Las técnicas anti-análisis son desplegadas por el malware para evadir el análisis o dificultar el análisis del archivo para investigadores y sistemas de pruebas de malware.

Una técnica comúnmente utilizada consiste en verificar elementos basados en hardware para determinar si el malware se está ejecutando en un entorno virtualizado, lo cual es a menudo una fuerte indicación de que el malware se está ejecutando en un laboratorio de pruebas o en un sandbox.

Cómo proteger tu computadora de los virus: métodos y consejos

MacRansom utiliza el comando sysctl para obtener la variable hw.model del sistema. Si se ejecuta desde una máquina virtual, su valor sería diferente. MacRansom también verifica la diferencia entre el número de CPUs lógicas y físicas, ya que los resultados en un entorno virtualizado son diferentes a los de un sistema operativo anfitrión.

El ransomware EvilQuest verifica el identificador único de la organización de Mac para determinar el proveedor del dispositivo. Obtiene la dirección MAC de la interfaz de red en0 y la compara con valores conocidos para determinar si se está utilizando una máquina virtual.

Además, EvilQuest verifica el tamaño de la memoria del dispositivo, ya que las máquinas virtuales tienden a tener poca memoria asignada. Si la memoria es inferior a 1 GB, el malware estima que se está ejecutando en un entorno virtual. También se verifica el número de CPUs y, si hay menos de dos, el malware considerará nuevamente que no se está ejecutando en un entorno de usuario habitual.

El ransomware KeRanger, al ejecutarse, permanece inactivo durante tres días antes de ejecutar su carga maliciosa, para evitar ser detectado en sandboxes que solo ejecutan la muestra durante unos minutos.

Sin embargo, varios sandboxes manejan ese tipo de situaciones mediante la modificación de la función de espera para evitar esperar días. Una vez más, esto puede evitarse: EvilQuest utiliza dos llamadas diferentes a la función de espera y verifica la diferencia en el resultado. Si el resultado es el mismo, el malware sabe que la función de espera se ha parcheado.

EvilQuest y MacRansom también evitan la depuración al impedir que el depurador se conecte al proceso actual del malware.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Lograr persistencia

Los Launch Agents y Launch Daemons pueden ser utilizados fácilmente por el malware para iniciar su ejecución. Un archivo de lista de propiedades se utiliza para especificar configuraciones y propiedades en directorios respectivos para lograr persistencia.

Las colas del kernel son otra forma de lograr persistencia. EvilQuest las utiliza para restaurarse a sí mismo en base a las notificaciones que recibe en caso de modificación de los archivos que monitorea.

Encriptación

Como existen muchos esquemas de encriptación diferentes, las familias de ransomware difieren en la forma en que encriptan los datos.

El ransomware FileCoder utiliza el software de compresión ZIP público para encriptar los datos, con una contraseña generada al azar para la encriptación. Encripta de forma recursiva los archivos en las carpetas /Users y /Volumes de macOS. Este método de utilizar la utilidad ZIP tiene un beneficio evidente: el desarrollador del ransomware no necesita implementar ningún tipo de encriptación y se basa en una encriptación sólida proporcionada por un tercero.

El malware KeRanger está diseñado para utilizar encriptación AES en modo de cifrado en cadena para encriptar archivos.

MacRansom utiliza una clave codificada en duro permutada con un número aleatorio para encriptar datos, mientras que EvilQuest encripta el contenido utilizando una rutina personalizada de encriptación con clave simétrica.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

Enumeración de archivos

La enumeración de archivos es una operación crítica para los operadores de ransomware. Consiste en encontrar qué archivos atacar para encriptar en un sistema o red. Varios métodos son utilizados por el ransomware en Mac para lograr ese objetivo.

Binario de línea de comandos 'Find'

FileCoder y MacRansom utilizan la utilidad "find" para buscar archivos para encriptar. Esta utilidad es nativa en varios sistemas como Linux y macOS y tiene varias opciones para ayudar a los atacantes.

La salida del comando 'find' se proporciona al malware para que ejecute sus operaciones en los archivos descubiertos.

FileCoder enumera de forma recursiva todos los archivos de las carpetas /Users y /Volumes de macOS, excluyendo los archivos llamados README!.txt.

MacRansom es más específico: busca archivos en las carpetas /Volumes y en la carpeta de inicio del usuario actual, pero verifica que sean archivos de más de 8 bytes, pertenezcan al usuario actual y que tengan habilitados los permisos de lectura.

Enumeración a través de bibliotecas

KeRanger y EvilQuest utilizan funciones estándar de biblioteca como opendir(), readdir() y closedir() para enumerar archivos en los sistemas afectados.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

Estas son funciones estándar utilizadas por muchos desarrolladores que necesitan manipular archivos.

El ransomware EvilQuest va más allá

El análisis de EvilQuest reveló que contenía más funcionalidades que simplemente encriptar archivos para pedir rescate. Incluso tiene variantes que ya no contienen la carga útil del ransomware.

  1. EvilQuest tiene la capacidad de infectar archivos en formato de objeto Mach (Mach-O) agregando su código a los archivos objetivo.
  2. Cuando se ejecutan los archivos infectados, se ejecutará el código de EvilQuest antes de ejecutar el código legítimo del archivo ejecutable.
  3. EvilQuest podría contener funcionalidades de keylogging e intenta escapar de los procesos de seguridad para evadir la detección, revisando si los procesos en ejecución pertenecen a una lista codificada en el malware de herramientas de seguridad conocidas. Si el malware encuentra coincidencias, detendrá el proceso y eliminará los permisos de ejecución del archivo del proceso.
  4. Algunas variantes de EvilQuest utilizan la ejecución en memoria, evitando cualquier almacenamiento en disco del malware y dificultando su detección.

Cómo protegerse de la amenaza del ransomware en macOS

Se recomienda encarecidamente tener siempre un sistema operativo y software actualizados y parcheados para evitar infectarse a través de vulnerabilidades comunes. También se recomienda no instalar software desde una fuente no confiable, como una plataforma de descarga. En cambio, solo se deben utilizar tiendas de aplicaciones legítimas.

Se deben implementar soluciones antivirus y de seguridad en los dispositivos Mac, y se deben verificar cuidadosamente los privilegios de usuario, de modo que los usuarios solo tengan acceso a los datos que necesitan y no a todos los datos de la empresa, especialmente en las comparticiones de red.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

¡Alerta! Un nuevo gusano de Linux está propagándose

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cuatro familias de ransomware afectan a dispositivos macOS: Microsoft , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.