Microsoft publicó el 5 de enero, y luego redactó el 6 de enero, un informe que detallaba Cuatro familias de ransomware afectan a macOS dispositivos. Cuando se trata de amenazas de ciberseguridad como el ransomware, la mayoría de los sistemas afectados suelen ser Windows o Linux, por lo que la noticia causó sensación porque se trataba de dispositivos macOS.
Pero Patrick Wardle, fundador de Objective-See Foundation, señaló en Twitter que el informe no tenía citas y estaba estrechamente alineado con un informe similar hecho en su libro El arte del software malicioso para Macpublicado en julio de 2022.
VER: Limpia tu Mac antes de que se averíe y compra una nueva (Academia TechRepublic)
Microsoft eliminó el artículo y se comunicó en un tweet para explicar el motivo de esta eliminación (Figura A) en una respuesta a Wardle, sin llegar a disculparse por la publicación.
Figura A
Imagen: Twitter. Comunicación de Microsoft
Si bien Microsoft eliminó la publicación, los hallazgos se detallan a continuación.
El compromiso inicial de Mac no tiene nada de especial
El compromiso inicial para plantar ransomware en Mac utiliza los mismos métodos que cualquier otra infección. Los ciberdelincuentes usan correo electrónico, aplicaciones falsas o atraen a los usuarios para que descarguen archivos, lo que infectará su computadora con malware. El ransomware en Mac también puede llegar a través de cargas útiles de segunda etapa. En ese caso, el ransomware se deja caer y se ejecuta en el sistema a través de otro malware o es parte de un ataque a la cadena de suministro.
Desde un punto de vista técnico, Microsoft menciona que “los creadores de malware abusan de funcionalidades legítimas e idean diversas técnicas para explotar vulnerabilidades, evadir defensas u obligar a los usuarios a infectar sus dispositivos”.
Técnicas de ransomware en Mac
Microsoft utiliza cuatro familias de ransomware conocidas para explicar las técnicas de malware en Mac: KeRanger, FileCoder, MacRansom y EvilQuest.
Técnicas de antianálisis utilizadas por MacRansom y EvilQuest
El malware implementa técnicas antianálisis para evadir el análisis o hacer que el análisis de archivos sea mucho más complejo y difícil para los investigadores y los entornos limitados de malware.
Una técnica comúnmente vista es la verificación de elementos basados en hardware para determinar si el malware se está ejecutando en un entorno virtualizado, lo que a menudo es una fuerte indicación de que el malware se está ejecutando en un laboratorio de pruebas o en un espacio aislado.
MacRansom usa el comando sysctl para obtener la variable hw.model del sistema. Si se ejecutara desde una máquina virtual, su valor sería diferente. MacRansom también verifica la diferencia entre la cantidad de CPU lógicas y físicas, ya que los resultados en un entorno virtualizado son diferentes a los de un sistema operativo host.
El ransomware EvilQuest verifica el identificador único organizacional de Mac para determinar el proveedor del dispositivo. Obtiene la dirección MAC de la interfaz de red en0 y la compara con valores conocidos para determinar si se utiliza una máquina virtual.
VER: Microsoft Defender protege Mac y Linux de sitios web maliciosos (TechRepublic)
Además, EvilQuest verifica el tamaño de la memoria del dispositivo, ya que las máquinas virtuales tienden a tener poca memoria asignada. Si tiene menos de 1 GB de memoria, el malware estima que se está ejecutando en un entorno virtual. También se comprueba el número de CPU y, si hay menos de dos, el malware volverá a considerar que no se ejecuta en un entorno de usuario habitual.
El ransomware KeRanger, cuando se lanza, duerme durante tres días antes de ejecutar su carga útil maliciosa, para evitar ser detectado en entornos limitados que solo ejecutan la muestra durante unos minutos.
Sin embargo, varias cajas de arena manejan ese tipo de situación parcheando la función de suspensión para evitar esperar días. Una vez más, esto se puede omitir: EvilQuest usa dos llamadas de sueño diferentes y verifica la diferencia en el resultado. Si el resultado es el mismo, el malware sabe que la función de suspensión está parcheada.
EvilQuest y MacRansom también evitan la depuración al evitar que el depurador se conecte al proceso de malware actual.
Lograr la persistencia
Los agentes de lanzamiento y los demonios de lanzamiento pueden ser fácilmente utilizados por el malware para iniciar el lanzamiento. Se utiliza un archivo de lista de propiedades para especificar configuraciones y propiedades en los directorios respectivos para ganar persistencia.
Las colas del núcleo son otra forma de lograr la persistencia. EvilQuest lo usa para restaurarse a sí mismo en función de las notificaciones que recibe en caso de modificación de los archivos que supervisa.
Cifrado
Dado que existen muchos esquemas de cifrado diferentes, las familias de ransomware difieren en la forma en que cifran los datos.
El ransomware FileCoder utiliza el software ZIP público para cifrar datos, con una contraseña generada aleatoriamente para el cifrado. Cifra recursivamente los archivos en las carpetas /Users y /Volumes. Este método de uso de la utilidad ZIP tiene un beneficio obvio: el desarrollador de ransomware no necesita implementar ningún cifrado y depende de un cifrado sólido proporcionado por un tercero.
El malware KeRanger está desarrollado para usar el cifrado AES en el modo de encadenamiento de bloques de cifrado para cifrar archivos.
MacRansom utiliza una clave codificada permutada con un número aleatorio para cifrar los datos, mientras que EvilQuest cifra el contenido mediante una rutina de cifrado de clave simétrica personalizada.
enumeración de archivos
La enumeración de archivos es una operación crítica para los operadores de ransomware. Consiste en encontrar qué archivos apuntar para el cifrado en un sistema o red. El ransomware en Mac utiliza varios métodos para lograr ese objetivo.
Binario de línea de comando ‘Buscar’
FileCoder y MacRansom hacen uso de la utilidad «buscar» para buscar archivos para cifrar. Esta utilidad es nativa en varios sistemas como Linux y macOS y tiene varias opciones para ayudar a los atacantes.
Luego, la salida del comando de búsqueda se proporciona al malware para ejecutar sus operaciones en los archivos descubiertos.
VER: Los grupos de ransomware más peligrosos y destructivos de 2022 (TechRepublic)
FileCoder enumera recursivamente todos los archivos de las carpetas macOS /Users y /Volumes, excluyendo los archivos llamados README!.txt.
MacRansom es más específico: busca archivos en /Volumes y en la carpeta de inicio del usuario actual, pero busca archivos de más de 8 bytes, pertenecientes al usuario actual para el que tiene permisos de lectura habilitados.
Enumeración a través de bibliotecas
KeRanger y EvilQuest usan funciones de biblioteca estándar como opendir(), readdir() y closedir() para enumerar archivos en los sistemas afectados.
Esas son funciones estándar utilizadas por muchos desarrolladores que necesitan manipular archivos.
El ransomware EvilQuest lo lleva más lejos
El análisis de EvilQuest reveló que contenía más funcionalidades que solo cifrar archivos para pedir rescate. Incluso tiene variantes que ya no contienen la carga útil del ransomware.
- EvilQuest tiene la capacidad de infectar archivos con formato de archivo de objeto Mach (Mach-O) anteponiendo su código a los archivos seleccionados.
- Cuando se ejecuta, los archivos infectados ejecutarán el código EvilQuest antes de ejecutar el código legítimo del archivo ejecutable.
- EvilQuest puede contener funcionalidades de registro de teclas e intenta escapar de los procesos de seguridad para evadir la detección comprobando si los procesos en ejecución pertenecen a una lista codificada de patrones de herramientas de seguridad. Si el malware encuentra coincidencias, detendría el proceso y eliminaría el permiso ejecutable del archivo de proceso.
- Algunas variantes de EvilQuest utilizan la ejecución en memoria, lo que impide el almacenamiento en disco del malware y dificulta la detección.
¿Cómo protegerse de la amenaza del ransomware en macOS?
Se recomienda encarecidamente tener siempre un sistema operativo y un software actualizados y parcheados, para evitar ser infectado a través de vulnerabilidades comunes. También se recomienda nunca instalar software de una fuente que no sea de confianza, como una plataforma de descarga. En su lugar, solo se deben usar tiendas de aplicaciones legítimas.
Las soluciones antivirus y de seguridad deben implementarse en los dispositivos Mac, y los privilegios de los usuarios deben verificarse cuidadosamente, de modo que los usuarios solo puedan acceder a los datos que necesitan y no a todos los datos de la empresa, especialmente en los recursos compartidos de red.
Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.