Ransomware a la carta MacSpy y MacRansom están en el menú… Y son ¿gratuitos?

Sin lugar a dudas los ataques de malware tipo ransom han ido en incremento. Ya en el 2014 , las ganancias por infecciones reportadas habían otorgado a los criminales una suma similar a los 30 millones de dólares.

En un informe de la BBC, a finales de agosto del 2016, en un periodo de un año, más de 398 millones de ataques estaban relacionados con este tipo de programas.

 Y se estima que estas cifras se disparen aún mas conforme el desarrollo de técnicas para ransomware continúe adquiriendo madurez y los grupos delictivos sigan mejorando sus estrategias para lograr colarse en las redes de grandes empresas, sus principales objetivos.

Las empresas se ponen en una verdadero aprieto tratando de discernir si pagar o no por el rescate de su información, ya que nada está garantizado. Los criminales tiene la facilidad de permanecer ocultos y no hay un “rostro” al cual reconocer para responsabilizar.

Pero ¿Que sucede con quienes desean formar parte de este tipo de ataques, pero no tienen los conocimientos para diseñar, desarrollar e implementar un ataque? Esta pregunta, desearía tener una respuesta negativa, desafortunadamente, existen grupos delictivos que no solamente obtienen ganancias por lanzar a la red sus ataques y obtener el rescate por los valiosos datos de sus víctimas. También ofertan sus códigos fuentes para con ellos hacerse de nuevos beneficios económicos.

Varias páginas en la red ofrecen versiones que ya están en circulación. Tal es el ejemplo de Karmen, una variante deMSIL/Filecoder.AK la cual comenzó a liberarse en diciembre del 2016 y para marzo del presente año ya podía ser descargado en paquete de código libre con “fines educativos” Esto ha generado toda una oleada de nueva ideas para mejorar tales programas agregando funcionalidad y como suele suceder con muchos códigos libre o abiertos, esto puede provocar que estos programas evolucionen en nivel de peligrosidad para alcanzar mayores niveles de riesgo para el usuario que termine infectado.

 

ANTECEDENTES

En mayo 25 de 2017, Bleeping Computer advirtió sobre una aplicación de tipo ransomware denominada MacRansom, así como un backdoor llamado MacSpy, y a solo algunas semanas, el código ya se encuentra disponible en un sitio web Tor y es ofrecido como el software espía más sofisticado y gratis.

En realidad, no se encuentran disponibles directamente, pero se pueden conseguir enviando un correo al autor.

Resulta curioso que exista en la página un About Us, y es de resaltar el descaro con que se describen, en pocas palabras mencionando que los sistemas bajo Mac se han vuelto cada vez mas populares, por lo que notaron la carencia de malware y decidieron ofertar estas herramientas de forma gratuita. Se describen como desarrolladores profesionales con experiencia e interés en la vigilancia e invitan al usuario a “confiar” en su software.

Un investigador, realizó la descarga y para desconsuelo de los interesados en sacar jugosas ganancias de esto, el experto de Malwarebytes desmiente mucha de la sofisticación y efectividad que se presume. Aquí el informe:

 

EJECUTABLES

Primero, los archivos eran simples ejecutables de línea de comandos que, cuando se ejecutan, se copian en la carpeta Biblioteca del usuario.

MacSpy:

~/Library/.DS_Stores/updated

MacRansom:

~/Library/.FS_Store

Se ocultan de la vista del usuario por comenzar con punto, algo simple. Que el usuario puede configurar para encontrarlos.

Crean archivos de tipo LaunchAgent que les ayudarán a obtener persistencia.Algo catalogado por el experto como muy poco original.

MacSpy:

~/Library/LaunchAgents/com.apple.webkit.plist

MacRansom:

~/Library/LaunchAgents/com.apple.finder.plist

 

SIN POSIBILIDAD DE ESCONDERSE EN EL DIRECTORIO

Se describe en el análisis que ni MacSpy ni MacRansom son capaces de personalizar las ubicaciones de instalación, por lo que serían fácilmente detectables.

Por otro lado, maneja una fecha de activación personalizada antes de pasar a cifrar los datos por los que pretende solicitar rescate, con lo que la probabilidad de quedar infectado se reduce y podría quedar detectado antes de codificar.

CIFRADO

El encriptado de los datos también se cataloga como débil, ya que utiliza un cifrado de clave simétrica con solo 8 bytes de longitud tanto para cifrar como para descifrar.

No obstante el proceso de la creación de claves implica un número aleatorio y su resultado no parece guardarse en el disco ni ser comunicado a ningún C&C. Lo que deja como resultado una decodificación de los datos que solo puede conseguirse por la fuerza.

Posterior a la encriptación, el malware permite mostrar una alerta con las indicaciones que el usuario debe seguir para recuperar sus archivos la cual continuará apareciendo .

MACSPY Por lo que se refiere al software de MacSpy, este reúne datos en archivos temporales y los envía periódicamente a un C&C Tor por medio de http no cifrado. El espía es capaz deextraer los siguientes datos:

Capturas de pantalla (tomadas cada 30 segundos), audio capturado mediante micrófono, contenido del portapapeles, fotos de ICloud  y datos del navegador.

 

VERSIÓN DE PAGO ¿NO ERA GRATIS?

El malware maneja una versión que no es gratuita, en la cual, si se realiza el pago, se obtendrán además otras capacidades como la extracción de otros archivos, accesos de redes sociales y un paquete de troyano.  PROTEGIÉNDOSE CONTRA ANÁLISIS DE EXPERTOS Aunque  no resultan malware muy sofisticado, si se encuentran habilitados con características para evitar ser analizados. Se observó que maneja tres métodos para determinarlo y en el caso de encontrarse sometidos al análisis, se cierran y no muestran comportamiento malicioso.

Estos métodos son a prueba de:

-Depuración por medio de una llamada a ptrace.

-Analizan la salida del comando Shell sysctl hw.model

-Análisis en máquinas virtuales

En el caso de estar ejecutándose en un entorno virtual, se busca un identificador de modelo del hardware, si este no puede facilitarse, entonces devuelve un valor correspondiente al software de virtualización que lo ejecuta. Si el valor no contiene “MAC” entonces entiende que se encuentra bajo revisión en un ambiente virtual por lo que se cierra.

También es capaz de realizar comprobación de este entorno virtual por medio de números de CPU lógicos y físicos lo que le permite también identificar en qué condiciones se encuentra ejecutándose.

 

INDICADORES DE COMPROMISO

La presencia de cualquiera de estos archivos indica infección ~/Library/LaunchAgents/com.apple.webkit.plist~/Library/LaunchAgents/com.apple.finder.plist~/Library/.DS_Stores/~/Library/.FS_Store

SHA256

617f7301fd67e8b5d8ad42d4e94e02cb313fe5ad51770ef93323c6115e52fe98

a729d54da58ca605411d39bf5598a60d2de0657c81df971daab5def90444bcc3

email

getwindows@protonmail.com

 

CONCLUSION

Si una ventaja puede obtenerse de la descarga de este tipo de códigos es comprender su anatomía, identificar vulnerabilidades quizá para de este modo poder sacarlos de operación y prepararse mejor para minimizar sus alcances.

Por lo que a los supuestos autores de este malware que está “libre” la procedencia parece realmente dudosa, principalmente porque no se pueden descifrar los archivos, con lo que al obtener una recompensa por ella y no poder recuperarlos, se pondría en duda la veracidad en la recuperación de los malware tipo ransomware reales y las víctimas optarían por no pagar. Con  esto la rentabilidad del ransomware decaería. Por lo que si su negocio principal es el ransomeware, esta no parece una estrategia a favor de su crecimiento al final de cuentas.

 

Referencias

New mac as a service offerings

 

 

Share with your friends










Submit
Tags: