KeRanger, virus per MAC che cripta file e chiede riscatto

Scoperta la prima applicazione ransomware che infetta computer OS X. Si chiama 'KeRanger' ed è il primo caso noto di un encrypter dannoso eseguibile su OS X.

Scritto da

Simone Ziggiotto

il

E’ finita l’era in cui la piattaforma OS X di Apple era esente da virus: sempre piu’ spesso ci sono hacker che attaccano i computer MAC e nei giorni passati è stata scoperta la prima applicazione ransomware che infetta computer OS X.

Palo Alto Networks sostiene che il software malevolo, che si fa chiamare "KeRanger" è il primo caso noto di un encrypter dannoso eseguibile su OS X, un tipo di malware che limita l’accesso del dispositivo e cripta alcuni file o intere cartelle che infetta e richiede un riscatto (ransom in Inglese) da pagare per rimuovere il blocco. Il riscatto solitamente deve essere pagato in valuta bitcoin ad una organizzazione sconosciuta per far decriptare i dati.

Il codice maligno è stato online per alcuni giorni, distribuito tramite una versione contraffatta di Transmission, un client free di BitTorrent per Mac. Da quanto si apprende dal rapporto di PAN, gli hacker sono riusciti a mettere le mani sulla versione 2.90 di Transmission e legarla ad un legittimo certificato degli sviluppatori di Apple. Quindi, se si esegue tale versione si potrebbe avere il computer infetto.

"Il 4 marzo, abbiamo rilevato che il programma di installazione BitTorrent Transmission per OS X è stato infettato da ransomware, solo poche ore dopo che gli il pacchetto d’installazione è stato pubblicato. Abbiamo chiamato questo "KeRanger". L’unico ransomware precedente per OS X sappiamo essere FileCoder, scoperto da Kaspersky Lab nel 2014. Mentre FileCoder era incompleto al momento della sua scoperta, crediamo che KeRanger sia il primo ransomware completamente funzionale visto sulla piattaforma OS X" scrivono gli esperti di Palo Alto Networks.

Avviso nuova versione 2.90 di Transmission

Il client KeRanger, una volta installato nel sistema, attende tre giorni prima di connettersi a un server remoto utilizzando la piattaforma anonima Tor e quindi avviare il processo di criptazione dei file sul computer della vittima e chiedere alla fine il riscatto per poi sbloccarli. Il malware è programmato per criptare oltre 300 tipi di file.

"L’applicazione KeRanger è stata firmata con un certificato valido per Mac; di conseguenza, è stato in grado di aggirare la protezione dei sistemi di Apple. Se un utente installa l’applicazione infetta, un file eseguibile incorporato viene eseguito sul sistema. KeRanger attende quindi tre giorni prima di collegarsi con il comando e controllo (C2) a server esterni tramite la rete anonima Tor. Il malware poi inizia la crittografia di alcuni tipi di file di documenti e dati sul sistema. Dopo aver completato il processo di crittografia, KeRanger chiede alle vittime un pagamento in bitcoin (circa 400 dollari) da pagare ad un indirizzo specifico per recuperare i propri file. Inoltre, KeRanger sembra essere ancora in fase di sviluppo attivo…" proseguono gli esperti.

Gli specialisti di Palo Alto Networks suggeriscono agli utenti che credono di poter avere preso il virus di cercare nel computer il processo kernel_service e controllare se esiste un file nominato "General.rtf" all’interno della cartella Risorse di Transmission… ma in realtà non occorre andare in cerca manualmente di alcun file, in quanto sia Apple che il team di Transmission si sono attivate subito. La società di Cupertino il 4 marzo 2016 ha revocato il certificato utilizzato dall’app in questione in modo che non può più essere installata su un MAC, e poi ha aggiornato XProtect. Per quanto riguarda Transmission, è gia’ in distribuzione la nuova versione 2.92 fatta apposta per rimuovere i file legati al ransomware, se presenti nel computer. 

In definitiva, se usate Torrent e avete Transmission installato nella versione 2.92 non ci dovrebbero essere problemi.

Impostazioni privacy