Huis > Cyber ​​Nieuws > MacRansom en MacSpy bewijzen dat Macs niet veilig zijn voor malware
CYBER NEWS

MacRansom en MacSpy Bewijs dat Macs niet veilig Malware

MacRansom en MacSpy zijn twee voorbeelden van nieuwe Mac malware die is gemaakt door dezelfde persoon. Die persoon is ook het aanbieden van de twee stukken te koop via het model malware-as-a-service op twee donkere web portals. Potentiële klanten en wannabe cybercriminelen krijgen de opdracht via een Protonmail adres in contact te komen met de auteur te krijgen.

Onderzoekers van AlienVault en Fortinet besloten om contact op met de crimineel, zodat ze de kans om MacRansom en MacSpy analyseren krijgen. Het allereerste ding dat Fortinet onderzoekers wezen erop, echter, heeft betrekking op de brede overtuiging dat Macs veilig zijn voor ransomware en malware-aanvallen.

“Het is waar dat het minder waarschijnlijk voor een Mac OS gebruiker te worden aangevallen of geïnfecteerd door malware dan een Windows-gebruiker, maar dit heeft niets te maken met de mate van kwetsbaarheid in het besturingssysteem. Het is grotendeels veroorzaakt door het feit dat meer dan 90% van personal computers draaien op Microsoft Windows en slechts ongeveer 6% op Apple Mac OS," ze toegelicht.

Dus wat zijn de specifieke kenmerken van de nieuw ontdekte Mac malware samples?

Verwante Story: Fruit vlieg, de Eerste Mac Malware voor 2017 Gekraakt door Onderzoeker

Meer over MacSpy

Blijkbaar, MacSPy heeft twee versies: een gratis basisversie en een geavanceerde een die kan worden gekocht in Bitcoins.

Wat betreft de kwaadaardige mogelijkheden van MacSpy, de malware is een eenvoudige RAT / spyware die is ontworpen om screenshots te maken, geluid opnemen, stelen foto's, op te halen inhoud van het klembord, stelen browsen geschiedenissen en downloaden van gegevens, en had keylogging mogelijkheden. De malware ook gecommuniceerd via Tor. Als voor de geavanceerde versie die beschikbaar is tegen een bepaalde prijs is - het een bestand of gegevens van het slachtoffer machine kan ophalen. Het is ook in staat om het coderen van de gebruiker directory, het verlenen van toegang tot e-mail en sociale accounts, onder andere.


Meer over MacRansom

Volgens de ontwikkelaar, MacRansom gebruikt onbreekbare encryptie. Echter, verdere details niet verstrekt. Analyse door Fortinet onderzoekers toont aan dat de ransomware alleen kan versleutelen tot 128 bestanden via een symmetrische versleuteling met een hardcoded sleutel. De ontwikkelaar heeft twee sets van symmetrische sleutels gebruikt: een ReadmeKey en een TargetFileKey.

"De ReadmeKey wordt gebruikt om ._README_ bestand dat het losgeld notities en instructies bevat decoderen, terwijl de TargetFileKey wordt gebruikt voor het coderen en decoderen van bestanden van het slachtoffer,”Schreef de onderzoekers, toe te voegen dat:

Een merkwaardige we waargenomen wanneer reverse-engineering van de encryptie / decryptie-algoritme is dat de TargetFileKey wordt gepermuteerd met een willekeurig gegenereerd nummer. Met andere woorden, de gecodeerde bestanden kunnen niet meer worden gedecodeerd nadat de malware is beëindigd - de TargetFileKey zal worden bevrijd uit het geheugen van programma's en dus wordt het moeilijker om een ​​decoder of recovery tool om de gecodeerde bestanden te herstellen creëren.

Bovendien, MacRansom heeft niet de mogelijkheid om te communiceren met een Command & Control Server voor de TargetFileKey, wat betekent dat er niet een voorbereide kopie van de sleutel om de bestanden te decoderen. "Echter, is het nog steeds technisch mogelijk is om de TargetFileKey herstellen. Een van de bekende technieken een brute force gebruiken. Het zou niet lang duren voor een moderne CPU te brute-force een 8-byte lange sleutel wanneer dezelfde sleutel wordt gebruikt voor bekende bestanden met inhoud voorspelbare bestand te versleutelen. Niettemin, we zijn nog steeds sceptisch over de vordering van de auteur in staat zijn om de gekaapte bestanden te decoderen, zelfs in de veronderstelling dat de slachtoffers stuurde de auteur een onbekend willekeurig bestand,”Concludeerden de onderzoekers.

Verwante Story: Scam op Apple iCloud met Ransomware Kenmerken

Wat doen MacRansom en MacSpy hebben met elkaar gemeen?

Zoals vermeld in het begin, de twee stukken lijken te zijn bedacht door dezelfde ontwikkelaar. MacRansom en MacSpy delen dezelfde mechanismen anti-analyse, en ook dezelfde methode gebruiken om een ​​lancering punt te maken, zodat het stuk begint bij de herstart van het systeem.

Noch MacRansom noch MacSpy zijn digitaal ondertekend wat betekent dat als een gebruiker downloadt een van hen en runt, het besturingssysteem zal een waarschuwing met de mededeling dat het programma afkomstig is van een onbekende ontwikkelaar. De ontwikkelaar van de malware ook vertelt gebruikers in staat om fysieke toegang tot de doelcomputer om te winnen te installeren en voer het uit.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens