venerdì 11 marzo 2016

È NATO IL VIRUS CHE ATTACCA I MAC: SI CHIAMA KERANGER

È un pericoloso Ransomware: un tipo di malware che limita l'accesso del dispositivo che infetta, richiedendo un riscatto (ransom in Inglese) da pagare per rimuovere la limitazione. Può criptare più di 300 estensioni di file, inclusi documenti, foto, video e archivi e si diffonde attraverso l'applicazione Transmission.

Antivirus Concept - Shutterstock 
.
I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell'Unione Europea, hanno fornito un’analisi completa di KeRanger, il primo ransomware per Mac che si diffonde attraverso Transmission, un client BitTorrent comunemente usato su OS X.



La versione pericolosa di Transmission, la 2.90, è rimasta disponibile per il download tra lo scorso 4 e 5 marzo ed era firmata con un certificato legittimo dallo sviluppatore. A tutti gli utenti è stato raccomandato di aggiornare immediatamente il dispositivo con la versione 2.91, in quanto sarebbero potuti diventare vittime di un nuovo ransomware. 



Una volta eseguito KeRanger, scoperto per la prima volta da Palo Alto Networks, rimane nascosto per tre giorni prima di attivare le proprie funzioni crittografiche. Al giorno stabilito il malware si connette a uno dei 6 siti ospitati nella rete TOR per scaricare un messaggio di riscatto e una chiave RSA pubblica. La connessione alla rete TOR avviene attraverso i gate pubblici di TOR2WEB.

Il Trojan OSX/Filecoder.KeRanger.A conteggia tutti i file presenti nelle cartelle /Users e /Volumes folders quindi tenta di codificarli. Per la codifica usa un sistema crittografico estremamente potente – il malware sceglie a caso una chiave a 256-bit per l'algoritmo AES, cripta il file, poi cripta la chiave AES attraverso l'algoritmo RSA e salva il blob codificato nel file. Quindi differenti file avranno differenti chiavi di codifica.

Il ransomware potrebbe criptare più di 300 estensioni di file, inclusi documenti, foto, video e archivi. Il file codificato cambia la sua estensioni in .encrypted e a questo punto KeRanger crea un file di testo con una richiesta di riscatto in tutte le cartelle con file codificati. Da notare che le parole del messaggio vengono scaricate dal server di comando e controllo e possono quindi essere modificate dai criminali in qualsiasi momento, permettendo tra le altre cose di modificare l'ammontare del riscatto. 

Per verificare che il KeRanger non sia presente su un dispositivo Mac bisogna controllare che sul sistema siano presenti i seguenti file, eliminarli e disinstallare l'app Transmission: 

/Applications/Transmission.app/Contents/Resources/ General.rtf 
/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf 
%HOME_DIR%/Library/kernel_service/kernel_service 
%HOME_DIR%/Library/kernel_service/.kernel_pid 
%HOME_DIR%/Library/kernel_service/.kernel_time 

Per maggiori informazioni su KeRanger è possibile visitare il blog WeLiveSecurity di ESET al link http://www.welivesecurity.com/2016/03/07/new-mac-ransomware-appears-keranger-spread-via-transmission-app/

Nessun commento: