Inicio Actualidad Nuevo ransomware dirigido a macOS se propaga a través de la piratería

Nuevo ransomware dirigido a macOS se propaga a través de la piratería

Esta semana una variedad de investigadores en ciberseguridad descubrieron una nueva variante de ransomware dirigida a computadoras Mac, denominada ThiefQuest, la cual no sólo es capaz de cifrar los archivos de las víctimas, sino que también instala un keylogger, un shell inverso y sustrar archivos vinculados con monederos de criptomonedas de hosts infectados. Así lo reportó ZDNet el pasado 30 de junio.

El primero en descubrir la amenaza fue el investigador de seguridad de K7 Lab, Dinesh Devadoss, quien publicó el pasado 29 de junio acerca de su hallazgo. Devadoss compartió en Twitter que un nuevo ransomware dirigido al sistema operativo macOS se hacía pasar por el programa de actualización de software de Google, con cero detección.

Otro de los investigadores enfocados en esta nueva detección es Thomas Reed, el director de Mac & Mobile del equipo de ciberseguridad de Malwarebytes Labs, quien divulgó la información a través del blog de la compañía estadounidense de seguridad de Internet.

Thomas Reed, quien se describe como experto autodidacta en seguridad de Apple, publicó el descubrimiento de una nueva familia de ransom malware (o malware de rescate) que se propaga a través de la piratería.

El investigador explicó en un artículo que su investigación comenzó con un mensaje que recibió de un usuario en Twitter. El usuario @beatsballert le escribió a Reed luego de que se enteró que un instalador de LittleSnitch «aparentemente malicioso» estaba disponible para descargar en un foro ruso. Cabe destacar que Little Snitch es un firewall de aplicación basado en host para el sistema operativo macOS.

Publicidad

En dicho foro ruso, cuyo fin es compartir enlaces de torrents, había una publicación que ofrecía la descarga de torrents para Little Snitch. La publicación tenía varios comentarios que señalaban que la descarga incluía malware. «De hecho, descubrimos que no solo era malware, sino una nueva variante de ransomware para Mac que se propagaba a través de la piratería», sentenció el investigador de seguridad de dispositivos Apple.

El malware fue nombrado originalmente como EvilQuest, pero debido a que existe un videojuego legítimo con el mismo nombre (EvilQuest de Steam, que data del 2012), el nombre de este software malicioso fue cambiado, a solicitud de los creadores del videojuego, y los investigadores finalmente lo denominaron como OSX.ThiefQuest, o simplemente ThiefQuest.

El director de Mac & Mobile explicó lo siguiente:

«El análisis de este instalador mostró que definitivamente estaba sucediendo algo extraño. Para comenzar, el instalador legítimo de Little Snitch está empaquetado de forma atractiva y profesional, con un instalador personalizado bien hecho que está debidamente firmado por código. Sin embargo, este instalador era un simple paquete de instalación de Apple con un ícono genérico. Peor aún, el paquete de instalación se distribuyó sin sentido dentro de un archivo de imagen de disco». Thomas Reed, director de Mac & Mobile de Malwarebytes.

Reed explicó que en una investigación adicional se detectó un instalador malicioso adicional en un software de mezcla de DJ, denominado Mixed In Key 8, y en una versión pirata de la aplicación de producción musical Ableton Live. Tras estos descubrimientos, Reed señaló que «indudablemente, también hay otros instaladores flotando que no se han visto«, sentenció.

Reed añadió que, al parecer, este ransomware incluye una demora para su despliegue en los sistemas informáticos, característica que, según Reed, no es inusual en ransom malware para macOS. Por eso, aunado al hecho de que el malware incluye funciones con el nombre de «Time», Reed indicó que «probablemente significa que el malware se ejecuta con un retraso de tiempo, aunque aún no se sabe cuál es ese retraso».

«Por ejemplo, el primer ransomware Mac, KeRanger, incluyó un retraso de tres días entre el momento en que infectó el sistema y el momento en que comenzó a cifrar archivos. Esto ayuda a ocultar la fuente del malware, ya que el comportamiento malicioso puede no estar inmediatamente asociado con un programa instalado tres días antes«. Thomas Reed, director de Mac & Mobile de Malwarebytes.

Por su parte, el investigador principal de seguridad de Jamf, Patrick Wardle, publicó en Objective See un análisis de este malware. De dicho análisis, Reed rescató lo siguiente: «El malware parece incluir un keylogger, debido a la presencia de llamadas a CGEventTapCreate, que es una rutina del sistema que permite monitorear eventos como las pulsaciones de tecla No se sabe qué hace el malware con esta capacidad. También abre un shell inverso a un servidor de comando y control (C2)».

De acuerdo con ZDNet, Wardle dijo que «Armado con estas capacidades, el atacante puede mantener el control total sobre un host infectado», lo que se traduciría en que, aún cuando las víctimas paguen para rescatar sus archivos, los ciberatacantes aún mantendrían el acceso a las computadoras infectadas, lo que les permitiría seguir robando archivos.

Wardle compartió a ZDNet que una vez que el malware se ejecuta, encripta los archivos y, cuando termina de cifrarlos, muestra una ventana emergente con la noticia de que el dispositivo ha sido infectado y los archivos encriptados, así como también solicitando un rescate.

Publicidad

Cabe destacar que los ciberatacantes detrás de este nuevo ransomware exigen el rescate de 50 dólares en bitcoins (BTC), en un lapso de 72 horas después de mostrar el mensaje. Patrick Warlde compartió una imagen del mensaje donde exigen el rescate, en donde se observa la dirección de Bitcoin a la cual exigen que se envíe el dinero, mas no una forma de que puedan contactar a los ciberatacantes para obtener la clave de descifrado:

Imagen del investigador Patrick Wardle. Fuente: ZDNet.

Reed agregó que no está seguro de cuán grave es la situación luego de que los archivos son cifrados por este malware. «Es posible que una mayor investigación conduzca a un método para descifrar archivos, y también es posible que eso no suceda», sentenció el experto.

Asimismo, el investigador de seguridad de macOS en SentinelOne, Phil Stokes, manifestó que el ransomware es capaz de cifrar una gran variedad de archivos, incluyendo archivos del paquete de Office, imágenes, archivos PDF, html, txt., entre otros. Además, instala un keylogger para registrar las pulsaciones de teclas de las víctimas, un shell inverso para conectarse al host atacado y ejecutar comandos; además de robar archivos relacionados con aplicaciones de monederos de criptomonedas, como: wallet.pdf, wallet.png, key.png y .p12.

Recientemente se conoció que la compañía norteamericana de software de ciberseguridad Symantec bloqueó una serie de ataques atribuida al grupo Evil Group, que iba dirigida a más de treinta empresas en Estados Unidos, entre las cuales hay corporaciones Fortune 500. Los atacantes intentaron infectar las redes de las compañías con una familia de ransomware relativamente nueva, llamada WastedLocker, a través del también software malicioso Cobalt Strike.

Symantec también detectó una nueva campaña de ciberataques, basada en la distribución del ransomware Sodinokibi a través del malware Cobalt Strike. Los expertos en ciberseguridad de Symantec reportaron la detección de Cobalt Strike en los sistemas informáticos de ocho organizaciones, de las cuales tres se infectaron posteriormente con Sodinokibi.

Imagen destacada por Ella 87/ pixabay.com

Emily Faria
Ingeniera civil. Estudiante de Maestría en Ingeniería Ambiental. Bitcoiner. Con Bitcoin he aprendido mucho acerca del dinero y la privacidad en la era digital, así como también del movimiento cypherpunk. Sueño con un mundo donde se respeten la vida, la libertad individual y la propiedad privada; donde existan economías libres, descentralizadas y prósperas.

Dejar respuesta

Please enter your comment!
Please enter your name here

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

- Publicidad -

Most Popular

¿Qué es Holochain? El fin de la escalabilidad

Holochain es más que una simple criptomoneda. Llega para ser una alternativa a blockchain. Aunque muchos aspectos de ambos son comunes tienen...

Protocolo MimbleWimble: un poco de magia no haría mal a Bitcoin

Si pensabas que Harry Potter y Bitcoin tenían muy poco que ver, pues, nada más lejos de la realidad. Están unidos por el hechizo...

¿Qué es AVA?, ha nacido otra asesina de Ethereum

El ecosistema criptográfico a menudo debate sobre cuál es la Blockchain que surgirá como el "asesino de Ethereum".

¿Qué es Smart Trip Platform? Viajar puede ser más fácil

La tecnología blockchain ha resultado ser mucho más que el simple medio donde habitan las criptomonedas. Son varias las industrias que ya han experimentado...

Funciones hash y el árbol de Merkle: los escudos criptográficos de blockchain

Una manera de aumentar la eficiencia en la verificación de grandes cantidades de datos consiste en convertirlos de alguna manera en una...
- Publicidad -