Primeiro ataque de ransomware para Mac detetado em cliente para BitTorrent

De acordo com a publicação dos investigadores Claud Xiao e Jin Chen no centro de pesquisa da Palo Alto Networks, o ransomware foi descoberto no instalador do Transmission e é o primeiro deste tipo para OS X que está totalmente operacional. A Kaspersky Lab detetou um código malicioso com o mesmo propósito em 2014, o FileCoder, mas não estava completo quando foi interceptado. “Acreditamos que o KeRanger é o primeiro ransomware totalmente funcional visto na plataforma OS X”, escrevem os especialistas.

Os atacantes infetaram dois instaladores da versão 2.90 do Transmission na manhã de 4 de março. Quando os investigadores identificaram o problema, os ficheiros DMG ainda estava disponíveis para descarga no site do cliente BitTorrent.

Se um utilizador instalar as aplicações infetadas, um ficheiro executável corre no sistema; o KeRanger espera depois três dias antes de se ligar a servidores comando e controlo na rede Tor e começa a encriptar alguns documentos e ficheiros no sistema. Depois de completar este processo, pede à vítima o pagamento de uma bitcoin, que vale neste momento cerca de 400 dólares/363 euros, em troca de um endereço que lhes permitirá recuperar os ficheiros. A Palo Alto Networks refere ainda que o malware tenta escriptar os ficheiros de backup da Time Machine, para que as vítimas não consigam evitar pagar o resgate.

“O Transmission é um projeto open source. É possível que o site oficial tenha sido comprometido e que os ficheiros tenham sido substituídos por versões maliciosas, mas não conseguimos confirmar a forma como esta infeção ocorreu”, indicam. Adicionalmente, a aplicação KeRanger estava assinada com um certificado de desenvolvimento para Mac válido, o que significa que “conseguiu iludir a proteção Gatekeeper da Apple.”

Como proteger o Mac

Os utilizadores que descarregaram o Transmission a partir do site oficial entre 4 e 5 de março podem ter sido infetados com o KeRanger. A Palo Alto Networks aconselha os seguintes passos:

1. Usando o Terminal ou Finder, verificar a existência de /Aplicações/Transmission.app/ Contents/Resources/ General.rtf ou /Volumes/Transmission/Transmission.app/ Contents/Resources/ General.rtf. Se sim, a aplicação está infectada e deve ser apagada.
2. Usando o Monitor de Atividade, verificar se está a correr um processo com a denominação “kernel_service”. Se sim, analisar o processo escolhendo “Portas e ficheiros abertos” e verificar se há um ficheiro com uma designação do tipo “/Users/<username> /Library/kernel_service”. Em caso afirmativo, o utilizador deve forçar o encerramento (force quit).
3. Depois destes passos, a Palo Alto Networks recomenda que o utilizador verifique se existe na Biblioteca algum ficheiro com as designações .kernel_pid, .kernel_time, .kernel_complete ou kernel_service e apagar o que encontrar.

A empresa de segurança indica que reportou o problema à Transmission Project e à Apple na sexta-feira. A Apple revogou o certificado e atualizou a assinatura do antivirus Protect, enquanto a Transmission Project removeu os instaladores maliciosos.