CYBER NEWS

MacRansom e MacSpy Dimostra che i Mac non sono al sicuro da malware

MacRansom e MacSpy sono due campioni di nuovi malware per Mac che è stato creato dalla stessa persona. Quella persona offre anche i due pezzi in vendita tramite il modello di malware-as-a-service su due portali web scure. clienti e criminali informatici wannabe potenzialità sono incaricati di entrare in contatto con l'autore tramite un indirizzo Protonmail.

Ricercatori provenienti da AlienVault e Fortinet hanno deciso di contattare il criminale in modo che essi hanno la possibilità di analizzare e MacRansom MacSpy. La prima cosa che i ricercatori Fortinet hanno sottolineato, tuttavia, riguarda l'ampia convinzione che i Mac sono al sicuro da ransomware e attacchi malware.

“E 'vero che è meno probabile per un utente Mac OS per essere attaccato o infettato da malware che un utente di Windows, ma questo non ha nulla a che fare con il livello di vulnerabilità nel sistema operativo. È in gran parte causato dal fatto che oltre il 90% di personal computer eseguito su Microsoft Windows e solo circa 6% su Apple Mac OS," essi ha spiegato.

Quindi quali sono le specifiche dei campioni di malware Mac di recente scoperta?

Story correlati: Mosca della frutta, il primo Mac Malware per 2017 Cracked dal ricercatore

Di più su MacSpy

Apparentemente, MacSPy ha due versioni: una versione gratuita di base e uno avanzato che può essere acquistato in Bitcoin.

Per quanto riguarda le funzionalità malevoli di MacSpy, il malware è un semplice RAT / spyware che è stato progettato per catturare screenshot, registra audio, rubare le foto, recuperare il contenuto degli appunti, rubare le storie che stanno navigando e scaricare i dati, e aveva capacità di keylogging. Il malware comunicata anche via Tor. Per quanto riguarda la versione avanzata che è disponibile nei confronti di un certo prezzo - si può recuperare qualsiasi file o dati dalla macchina della vittima. E 'anche in grado di crittografare la directory dell'utente, concedere l'accesso agli account di posta elettronica e sociali, tra le altre cose.


Di più su MacRansom

Secondo il suo sviluppatore, MacRansom utilizza la crittografia unbreakable. Tuttavia, Ulteriori dettagli non sono forniti. L'analisi da ricercatori Fortinet dimostra che il ransomware può cifrare solo fino al 128 file tramite una crittografia simmetrica con una chiave hardcoded. Lo sviluppatore ha utilizzato due set di chiavi simmetriche: un ReadmeKey e un TargetFileKey.

"Il ReadmeKey viene utilizzata per decrittografare il file ._README_ che contiene le note e le istruzioni di riscatto, mentre il TargetFileKey viene utilizzato per cifrare e decifrare i file della vittima,”Hanno scritto i ricercatori, aggiungendo che:

Una cosa notevole che abbiamo osservato quando reverse-engineering l'algoritmo di crittografia / decrittografia è che il TargetFileKey viene permutata con un numero casuale generato. In altre parole, i file crittografati non possono più essere decifrati una volta che il malware ha terminato - il TargetFileKey sarà liberato dalla memoria del programma e quindi diventa più difficile per creare uno strumento di decrittografia o recupero per ripristinare i file crittografati.

In aggiunta, MacRansom non ha la capacità di comunicare con un comando & server di controllo per la TargetFileKey il che significa che non c'è una copia preparata della chiave per decifrare i file. "Tuttavia, è ancora tecnicamente possibile recuperare il TargetFileKey. Una delle tecniche note è quello di utilizzare un attacco a forza bruta. Non dovrebbe richiedere molto tempo per una CPU moderna a forza bruta una chiave lunga 8 byte quando viene usata la stessa chiave per crittografare i file noti con il contenuto del file prevedibile. Tuttavia, siamo ancora scettici della pretesa dell'autore di essere in grado di decifrare i file dirottati, anche supponendo che le vittime inviato l'autore di un file casuale sconosciuta,”I ricercatori hanno concluso.

Story correlati: Truffa su Apple iCloud con caratteristiche ransomware

Cosa MacRansom e MacSpy hanno in comune?

Come accennato all'inizio, i due pezzi sembrano essere stato coniato dallo stesso sviluppatore. MacRansom e MacSpy condividono gli stessi meccanismi anti-analisi, e anche utilizzare lo stesso metodo per creare un punto di lancio in modo che il pezzo inizia al riavvio del sistema.

Neither MacRansom nor MacSpy are digitally signed meaning that if a user downloads either of them and runs it, il sistema operativo visualizzerà un avviso che indica che il programma viene fornito da uno sviluppatore non identificato. Lo sviluppatore del malware dice inoltre agli utenti di avere accesso fisico al computer di destinazione, al fine di installare ed eseguire.

Milena Dimitrova

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum fin dall'inizio. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...