Con el objetivo de comprender las amenazas de Mac y mejorar la protección, el equipo de Inteligencia de Amenazas de Microsoft presentó un reporte de análisis de las familias de ransomware KeRanger, FileCoder, MacRansom y EvilQuest que fallaron en ataques a dispositivos macOS.
De acuerdo con el análisis, el vector inicial del ransomware para Mac generalmente se basa en métodos asistidos por el usuario, como descargar y ejecutar aplicaciones falsas o troyanizadas. También puede llegar como una carga útil de segunda etapa lanzada o descargada por otro malware o como parte de un ataque a la cadena de suministro. Una vez que se ejecutan en el dispositivo, los ataques de ransomware generalmente consisten en obtener acceso, ejecutar, cifrar los archivos de los usuarios objetivo y notificar al objetivo con un mensaje de rescate.
Para realizar estas acciones, los creadores de malware abusan de funcionalidades legítimas e idean diversas técnicas para explotar vulnerabilidades, evadir defensas u obligar a los usuarios a infectar sus dispositivos.
El paso más importante para cualquier ransomware es determinar qué archivos cifrar. FileCoder y MacRansom usan la utilidad find para buscar archivos para cifrar. Mientras que KeRanger y EvilQuest usan funciones de biblioteca para obtener la lista de directorios, en tanto que la lista de archivos la obtiene usando una secuencia de opendir(), readdir(), y closedir().
Para evadir o evitar el análisis de archivos por parte de analistas o sistemas de análisis automatizados, el malware usa varias técnicas antianálisis, como sandboxes. KeRanger, MacRansom y EvilQuest emplean verificaciones basadas en hardware o usan código específico además de la ofuscación habitual de cadenas para evitar el análisis.
El malware usa la persistencia para garantizar que se ejecute incluso después de reiniciar el sistema. EvilQuest y MacRansom utilizan la técnica de creación de agentes de lanzamiento o demonios de lanzamiento, que consiste en usar un archivo de lista de propiedades (PLIST) para especificar configuraciones y propiedades en los directorios respectivos para ganar persistencia. EvilQuest puede crear archivos Launch Agent y Launch Daemon, mientras que MacRansom normalmente crea un archivo Launch Agent.
Otra técnica de persistencia es la cola del kernel (kqueue), que proporciona una forma para que una aplicación reciba notificaciones en función de varias condiciones y eventos. EvilQuest utiliza este método para restaurarse en función de la notificación que recibe en caso de que se realicen modificaciones en la lista de archivos que desea monitorear.
Es notable que las familias de ransomware analizadas a menudo comparten técnicas similares de antianálisis y persistencia. Lo que no sucede con la lógica de cifrado. Algunas usan AES-RSA, mientras que otras usan utilidades del sistema, rutinas XOR o lógica de cifrado personalizada para encriptar archivos. Estos métodos de cifrado van desde la modificación en el lugar hasta la creación de un nuevo archivo mientras se elimina el original. Para cifrar los archivos, FileCoder usa la utilidad ZIP, KeRanger utiliza el cifrado AES en el modo Cipher Block Chaining (CBC), aprovechando labiblioteca mbedtls; MacRansom usa un algoritmo simétrico, y EvilQuest utiliza una rutina de cifrado de clave simétrica personalizada.
Para defenderse contra los ataques de ransomware, el reporte de Microsoft que desentraña las técnicas del ransomware de Mac recomienda:
- Instalar aplicaciones sólo de fuentes confiables, como la tienda de aplicaciones oficial de una plataforma de software.
- Restringir el acceso a recursos privilegiados del sistema, como las carpetas LaunchDaemons o LaunchAgents y los archivos sudoers, a través de las soluciones de gestión empresarial de OSX. Esto ayuda a mitigar las técnicas comunes de escalamiento de privilegios y persistencia.
- Usar navegadores web que identifiquen y bloqueen sitios web maliciosos, incluidos sitios de phishing, sitios fraudulentos y sitios que contienen exploits y albergan malware.
- Ejecutar la última versión de los sistemas operativos y aplicaciones.