Durante el fin de semana, se publicó una notificación en Transmissionbt.com para decirle a los usuarios que debían de actualizar de inmediato Transmission, un popular cliente BitTorrent de código abierto para diferentes plataformas, a la versión 2.91, o eliminar la versión 2.90. La alerta se dio a raíz del descubrimiento de “KeRanger”, que se considera el primer ransomware del mundo diseñado específicamente para infectar a las computadoras con el sistema operativo OS X.
En la tarde del 5 de marzo pasado se descubrieron los primeros indicios del ataque, cuando los usuarios del foro se dieron cuenta de que las instalaciones de Transmission 2.90 – que se descargaban a través de HTTP en lugar del sitio HTTPS de Transmission – contenían malware. El cambio de los enlaces apunta hacia la probabilidad de que el sitio web de Transmission haya sido comprometido por atacantes que reemplazaron el instalador legítimo con uno que se recompiló con archivos maliciosos. Quienes descargaron el instalador Transmission 2.90 del sitio oficial entre las 11:00 a.m. PST del 4 de marzo a las 7:00 p.m. PST del 5 de marzo pudieron haber descargado los archivos que instalan KeRanger, que Trend Micro identifica como RANSOM_KeRanger.A.
El atacante utilizó un certificado de desarrollo de aplicaciones Mac válido para evadir la protección Gatekeeper de Apple. Gatekeeper es una funcionalidad de seguridad que requiere una Developer ID única de Apple, que los desarrolladores utilizan para firmar y verificar digitalmente sus aplicaciones. Apple utiliza esta funcionalidad para bloquear a las aplicaciones con las que pudiera haberse alterado, así como aquellas hechas por desarrolladores desconocidos. A las aplicaciones que se descargan y que no estén firmadas con una Developer ID se les impide instalarse. El método que se utiliza para evadir estas medidas de seguridad de Apple podría ser una señal de ataques similares en el futuro.
Además de ser reconocido como el primer ransomware en afectar a la plataforma OSX, este ataque también es notable por la manera en que llegó. KeRanger llega a través de una aplicación que contiene un troyano, lo que es poco común para el crypto ransomware que normalmente infecta a los sistemas objetivo a través de enlaces maliciosos.
Una vez que está en el sistema de una víctima, funciona como un cripto ransmoware típico. De acuerdo con el análisis, KeRanger espera tres días después de la infección para conectarse a un servidor de comando & control a través de la red Tor, después encripta ciertos tipos de documentos o de archivos del sistema de la víctima. Una vez que ha terminado, KeRanger muestra la nota de rescate, que exige 1 bitcoin para desencriptar los archivos bloqueados (1 bitcoin = $405 dólares).
Después de un tiempo de espera de tres días posterior a la instalación de la aplicación comprometida que se descargó entre el 4 y el 5 de marzo, se prevé que los primeros casos de encripción para quienes hayan sido infectados (y que no borraron los archivos maliciosos) se den a conocer los días 7 u 8 de marzo.
El mensaje de alerta publicado en transmissionbt.com también se actualizó el 6 de marzo, y el cual le sugería a todos los usuarios actualizarse a Transmission 2.92. Si bien la versión 2.91 estaba limpia, no eliminó los archivos maliciosos. La versión 2.92 sí elimina dichos archivos de los sistemas infectados.
Leave a Reply