Microsoft desvenda métodos de ransomware que visam o MacOS

Da Redação
08/01/2023

A Microsoft revelou recentemente informações sobre as quatro famílias diferentes de ransomware que aparentemente estão afetando os sistemas macOS da Apple. Trata-se do KeRanger, FileCoder, MacRansom e EvilQuest. 

Essas famílias de ransomware primeiro se espalharam por meio do que a fabricante do Windows chama de “métodos assistidos pelo usuário”, nos quais a vítima baixa e configura o software trojanizado, programa malicioso que permite acessar um dispositivo disfarçado de programa comum e legítimo. Eles também podem aparecer como parte de uma carga útil de ataque à cadeia de suprimentos ou como uma carga útil de segundo estágio entregue por malware já existente no host atacado.

“Embora essas famílias de malware sejam antigas, elas exemplificam a gama de recursos e comportamentos maliciosos possíveis na plataforma”, disse a equipe de inteligência em ameaças de segurança da gigante da tecnologia, em um relatório publicado na quinta-feira, 5.

Independentemente da abordagem de ataque usada, os ataques seguem um padrão semelhante no qual os invasores usam recursos e vulnerabilidades legítimos do sistema operacional para obter acesso aos computadores e criptografar documentos importantes. Isso inclui o uso do sistema operacional Unix, juntamente com funções de biblioteca como “opendir”, “readdir” e “closedir” para enumerar arquivos. A Microsoft mencionou outra abordagem, mas as variedades de ransomware não a usaram, diz a interface NSFileManager Objective-C.

Em uma tentativa de frustrar os esforços de análise e depuração, malwares como KeRanger, MacRansom e EvilQuest também empregam uma combinação de testes baseados em hardware e software para estabelecer se o malware está operando em um ambiente virtual. O KeRanger utiliza uma abordagem conhecida como execução atrasada para evitar a detecção. Ele consegue isso “dormindo” após o lançamento por três dias antes de retomar suas operações destrutivas.

Veja isso
Novo ransomware para Mac fica escondido em software pirata
17 antivírus derrubados em POC no Linux, Windows e Macintosh

Enquanto o KeRanger usa criptografia AES no modo cipher block chaining (CBC) para atingir seus objetivos, o FileCoder usa o programa ZIP para criptografar arquivos. Por outro lado, tanto o MacRansom quanto o EvilQuest usam uma técnica de criptografia simétrica. Além disso, o EvilQuest, detectado pela primeira vez em julho de 2020, inclui várias funções semelhantes a trojan, como keylogging, comprometimento de arquivos Mach-O inserindo código arbitrário e desativando o software de segurança, além dos recursos padrão de ransomware. Ele tem a capacidade de executar qualquer arquivo diretamente da memória, eliminando efetivamente qualquer evidência da carga útil do disco.

“O ransomware continua a ser uma das ameaças mais prevalentes e impactantes que afetam as organizações, com os invasores evoluindo constantemente suas técnicas e expandindo seus ofícios para lançar uma rede mais ampla de alvos em potencial”, acrescentou a Microsoft.

Compartilhar: