Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon KeRanger es el primer ataque de ransomware para Mac OS X


El cliente de BitTorrent Transmission ha sido comprometido. La web oficial acaba de notificar a sus usuarios el reciente incidente con las siguientes instrucciones: Todo el mundo usando la versión 2.90 en OSX debe inmediatamente actualizar a la versión 2.91 o borrar la copia de la versión 2.90, debido a que esta infectada por un malware conocido como OSX.KeRanger.A




 Durante este fin de semana Apple ha logrado bloquear finalmente un ataque dirigido a infectar los Mac con el malware conocido como ransomware. Se trataría de la primera vez en la historia que ocurre un ataque de este tipo en los equipos de Cupertino.

Según la firma de seguridad con la que ha estado trabajando la compañía, el incidente sería el primer ataque enfocado únicamente a Apple utilizando ransomware, que por lo general se dirige a equipos que ejecutan Windows. La forma de actuar del ataque es pidiéndole a las víctimas que paguen una cuota, por lo general a través de bitcoin, para obtener acceso a las claves con las que recuperar los archivos. Por tanto hablamos de un software malicioso que afecta a un equipo de manera temporal y que hasta ahora se había producido en equipos con el SO de Microsoft.




El aviso habría sido alertado por la firma de seguridad Palo Alto Networks, quienes habrían detectado la presencia del ransomware bajo el título de Keranger en los instaladores de Transmission, el cliente de BitTorrent para Mac. Según ha advertido la página web de Transmission, aquellas personas que hubieran descargado la versión 2.90 del cliente “deben actualizar inmediatamente a la versión 2.92”.

En cuanto a cómo lograron los atacantes subir una versión manipulada de Transmission, no está nada claro. Según explicaban desde la firma de seguridad Palo Alto:

Es posible que la página oficial de Transmission se haya visto comprometida y los archivos fueran reemplazados por versiones maliciosas recompiladas, pero no podemos confirmar cómo se produjo la intromisión.

En cuanto a su modus operandi, el ataque de KeRanger aparecía en aquellos equipos infectados tres días después de su ejecución. Lo hacía cifrando documentos de los ordenadores junto a otros ficheros del mismo, momento en el que se pedía el pago (normalmente alrededor de 400 dólares) a alguna dirección específica.


El 4 de marzo Palo Alto Networks detectó que el instalador de la versión 2.90 del instalador del cliente de bitTorrent Transmission para OS X había sido infectado con un ransomware, solo unas pocas horas después de haber sido publicado y que fuera accesible a todo el mundo.

¿Qué es un ransomware?

Un ransomware (del inglés ransom rescate y ware, software) es un tipo de programa informático malintencionado que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción. Algunos tipos de ransomware cifran los archivos del sistema operativo inutilizando el dispositivo y coaccionando al usuario a pagar el rescate.
El único ransomware conocido para OS X fue descubierto por Kaspersky Lab en 2014, fue denominado FileCoder y estaba incompleto mientras que KeRanger sí es una versión totalmente terminada y muy efectiva de software.

Los atacantes infectaron dos instaladores de la versión 2.90 de Transmission en la mañana del 4 de marzo. Cuando se identificó el problema, los instaladores estaban disponibles para descarga desde el sitio web de Transmission. Lo más probable es que el sitio web de este proyecto Open Source fuera comprometido y los instaladores originales fueran sustituidos por ambos instaladores infectados.

La aplicación infectada con KeRanger estaba firmada con un certificado de desarrollador de Apple válido y por lo tanto, era capaz de saltarse la primera línea de defensa de Apple, Gatekeeper. Si un usuario instala la aplicación infectada, un ejecutable embebido en la misma pasa a formar parte del sistema. Entonces KeRanger espera hasta 3 días para conectar con sus servidores de control y comando en la red Tor. Una vez conectado a estos servidores, comienza a cifrar ciertos tipos de documentos y archivos de datos del sistema. Tras terminar el proceso, solicita a la víctima que pague un Bitoin (alrededor de 400 dólares) a una dirección específica para poder recuperar sus archivos. Adicionalmente, KeRanger aparentemente sigue en desarrollo como ransomware y parece que el malware también intenta cifrar el contenido de las copias de seguridad de Time Machine para prevenir que el usuario pueda recuperar información desde su copia de seguridad.

Tras descubrir el malware, Palo Alto Networks, informó directamente a los responsables del proyecto Transmission y a Apple el mismo 4 de marzo. Desde entonces, Apple ha revocado el certificado del desarrollador asociado y ha añadido las definiciones de Xprotect para impedir la ejecución del malware, además de que los instaladores maliciosos han sido retirados de la web del proyecto Transmission.

Dentro de KeRanger

Los dos instaladores infectados por KeRanger están firmados por un certificado legítimo de Apple, ahora revocado. La ID del certificado era “POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673)” que es diferente de la ID usada por el equipo de Transmission para firmar anteriores aplicaciones. Los instaladores maliciosos fueron generados la mañana del 4 de marzo.

Los instaladores infectados con KeRanger incluyen un archivo extra llamado General.rtf dentro de la carpeta Transmission.app/Contents/Resources. Utiliza un icono de documento RTF, pero es un ejecutable Mach-O empaquetado con UPX 3.91. Cuando el usuario ejecuta una de estas aplicaciones infectadas, se copia este archivo General.rtf a la ubicación:

~/Librería/Kernel_service
 
y ejecuta el programa escondido dentro del documento incluso antes de que aparezca ningún interfaz de Transmission. La aplicación escondida tras General.rtf se encarga de cifrar los archivos de usuario y emitir la alerta correspondiente para conseguir obtener el dinero por el rescate, descargada de servidores de la red Tor.



El ransomware no cifra todo el contenido del disco sino que busca activamente hasta 300 tipos de archivos para su cifrado:
  • Documentos: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .tex
  • Imágenes: .jpg, .jpeg,
  • Audio y vídeo: .mp3, .mp4, .avi, .mpg, .wav, .flac
  • Archivos: .zip, .rar., .tar, .gzip
  • Código fuente: .cpp, .asp, .csh, .class, .java, .lua
  • Bases de datos: .db, .sql
  • Correo electrónico: .eml
  • Certificados: .pem
El malware está todavía, aparentemente, en desarrollo y su/sus creadores trabajan en características adicionales que no están implementadas en esta versión, como la capacidad de poder ejecutar comandos desde los servidores de control o cifrar las copias de seguridad de Time Machine para que el usuario no tenga más que restaurar el sistema desde la copia y evitar tener así que pagar por recuperar sus archivos.

Preguntas y respuestas

  • Utilizo Transmission y me actualicé a la versión 2.90 ¿Estoy infectado?: No. El problema solo afectaría a los usuarios que descargaron el instalador infectado durante el breve periodo de tiempo (entre las 11 de la mañana del 4 de marzo, PST hasta  las 7 de la mañana PST del 5 de marzo de 2016) que estuvo disponible en la web de Transmission. Es mucho más importante que controles qué descargas y de donde a partir de ahora, no obstante y solo confiar en fuentes de software fiables en la medida de lo posible, ya que el desarrollador de KeRanger no ha creado este software como prueba de concepto y es posible que veamos más ataques de este tipo en el futuro.
  • ¿La versión de Transmission 2.92 es segura?: Sí. La puedes descargar desde la web de Transmission.
  • ¿Puedo infectarme a día de hoy?: Apple ha revocado el certificado del desarrollador de la versión maliciosa, por lo que una aplicación firmada con ese certificado como la versión maliciosa de Transmission no se ejecutará. Adicionalmente ha actualizado las definiciones de Xprotect para evitar que se ejecute la aplicación.
  • ¿Puedo forzar la renovación de las definiciones de Xprotect?: Claro. Abre el Terminal en Aplicaciones > Utilidades e introduce el siguiente comando:
    sudo softwareupdate --background-critical
    que fuerza la actualización de las definiciones de Xprotect.
  • ¿Cómo puedo saber si estoy infectado o no?: Un par de aproximaciones al problema. Para empezar comprueba si la versión que estás utilizando de Transmission es la 2.90 y si la descargaste desde la web de Transmission durante el 4 a 5 de marzo. Si ya la tenías instalada y actualizaste, seguramente no estás infectado.  Usando el Terminal o el Finder, comprueba la existencia del documento .rtf malformación en la aplicación en estas dos rutas:
     /Applications/Transmission.app/Contents/Resources/ General.rtf
     /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
  • Utiliza el Monitor de Actividad para controlar el proceso: El proceso asociado a este malware es Kernel_service que no tiene nada que ver con otros servicios del sistema que usan de forma legítima el nombre de Kernel. El nombre del proceso malicioso es Kernel_service y debes forzar su salida directamente desde el Monitor de Actividad.
  • Eliminación de archivos: Si estuvieras infectado (cosa bastante improbable a estas alturas) elimina las siguientes (y solo las siguientes) carpetas de tu librería de usuario:
     ~/Librería/Kernel_service
    Además de las carpetas ocultas, si existieran “kernel_pid”, “.kernel_time”, “.kernel_complete” o “kernel_service” dentro de la carpeta Librería de tu usuario.
  • ¿Es grande el impacto?: muy pequeño. De hecho, es más ruido mediático que otra cosa porque el impacto real contra usuarios es mínimo y las acciones tomadas por Transmission y Apple han sido determinantes para bloquear el software y al desarrollador. Esto no quiere decir que no vaya a ser utilizado este ransomware para infectar otras futuras aplicaciones, pero a día de hoy, con la información que te hemos suministrado estás protegido y puedes comprobar, para asegurarte, que no tienes un problema.


Fuentes:
http://www.elotrolado.net/noticia_los-ordenadores-de-apple-reciben-el-primer-ataque-ransomware-de-su-historia_27896
http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
http://www.faq-mac.com/2016/03/keranger-una-aproximacion-forense-al-primer-ransomware-mac/
https://forum.transmissionbt.com/viewtopic.php?f=4&t=17834

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.