Migramos. Nuevas Publicaciones en Nuestro Nuevo Dominio.

OSX/MacRansom: Puede ser el comienzo del Ransomware as a Service

MacRansom es un nuevo malware que está en Mac. Este nuevo malware es un ransomware que hace peligrar la accesibilidad de los archivos de tu equipo, ya que los cifra y solicita el rescate. Descubierto por investigadores de Fortinet, el malware fue descrito como un Ransomware as a Service. Por otro lado, Patrick Wardle de Objective-See, ha estado trabajando en el análisis del malware obteniendo una serie de datos interesantes. OSX/MacRansom es un pieza de ransomware, particularmente, no avanzado desde un punto de vista técnica. Esta es la primera impresión que indica el investigador Wardle.
Lo que hace interesante a MacRansom es que está dirigido a los usuarios de macOS y que, además, se ofrece como un servicio. Hay que recordar que ayer hablábamos de MacSpy, malware as a service. Por lo que podemos ver y entender una dedicación de los delincuentes por los equipos Mac y ofrecer soluciones para controlar los equipos y extorsionar a sus usuarios. Según el análisis realizado por Fortinet, se habla de que hay un portal web en TOR, con el que se puede personalizar el malware. 
Figura 1: Portal en TOR de MacRansom
Respecto a los detalles técnicos, hay que indicar que el malware cuando es ejecutado tiene varias comprobaciones anti depuración y anti-VM. Todas las comprobaciones son básicas y triviales:
  • Utilización de ptrace.
  • Utilización de funciones para ver si se ejecuta en una máquina virtual. 
  • Utilización de sysctl para detectar máquina virtual. 
Una de las cosas más curiosas de este malware es que antes de llevar a cabo el cifrado de los documentos y solicitar el rescate, intenta crear persistencia en el equipo. En el análisis llevado a cabo por Wardle se muestra como Lucky es capaz de detectar el intento de persistencia del malware y como este intento se realiza antes de cifrar los archivos, se puede detectar la existencia del malware en el equipo antes de que haga daño.

Figura 2: Lucky detectando macRansom

Por otro lado, la herramienta RansomWhere de Objective See también es capaz de detectar al malware en el proceso de cifrado. Sin lugar a la duda, Mac es un target para los ciberdelincuentes. El incremento de la cuota de mercado es sin duda el desencadenante. Estaremos atentos a posibles noticias relacionadas con el ransomware en Mac.
 ________________________________________________________________________ 
Se Respetan Derechos de Autor