KeRanger: Pojavio se prvi ucenjivački malver na Mac OS X-u

Novi malver pod nazivom KeRanger (OSX.Keranger) po svoj prilici je prvi ucenjivački malver koji cilja operativni sistem Mac OS X. KeRanger je kratko kružio u sklopu kompromitovane verzije instaler aplikacije za inače popularni Bit Torrent klijent pod imenom Transmission. Korisnici Mac OS X operativnog sistema koji su preuzeli sa interneta Transmission u periodu iod 4. do 5. marta ove godine, nalaze se u potencijalno rizičnoj grupi.

S tom razlikom što je KeRanger osmišljen za Mac OS X, ponašanje mu je prilično slično ucenjivačkim malverom na Windows platformi. Ponajviše liči na TeslaCrypt (Trojan.Cryptolocker.N). Kad se instalira, KeRanger će pretraživati oko 300 tipova podataka i šifrovati svaki koji bude našao. Malver će potom prikazivati ucenjivačku poruku u kojoj će tražiti da žrtva plati 1 bitcoin (ekvivalent sumi od 408 američkih dolara). Platna transakcija se obavlja korišćenjem sajta koji je na anonimnoj Tor mreži.

KeRanger ima validan Mac Developer ID potpis, što znači da bi zaobišao Gatekeeper zaštitu OS X-a, koji je osmišljen da blokira pokretanje softvera iz neproverenih izvora. Apple je u međuvremenu povukao izdatu legitimaciju programera koju koristi KeRanger.

Pozadina

Imajući u vidu popularnost Apple uređaja, bilo je samo pitanje vremena kad će se pojaviti ucenjivački malver koji “kači” Mac OS X. Otkrivene su instance zloćudnih web sajtova koji napadaju Safari za Mac OS X. U ovim slučajevima, sajtovi su koristili JavaScript da nateraju Safari da uporno prikazuje iskačuće poruke u kojima informiše korisnika da mu je internet pretraživač zaključan i da je to delo FBI-a zbog gledanja ilegalnih sadržaja. Niti jedan malver do sad nije specifično ciljao Mac OS X.

U novembru 2015. je kao dokaz koncepta objavljena pretnja pod imenom Mabouia (OSX.Ransomcrypt) i nju je razvio brazilski istražovač Rafael Salema Marques s ciljem da ukaže na činjenicu da Mac-ovi nisu imuni na pretnje ucenjivačkim malverom. Marques je podelio uzorak ucenjivačkog koda sa Symantec-om i Apple-om. Symantec-ovi analitičari su potvrdili da dotični dokaz koncepta funkcioniše. I dok je pretnja mogla biti upotrebljena da se napravi funkcionalan Mac OS X šifrirajući ucenjivački malver ako bi dospela u pogrešne ruke, Marques je rekao da nema nameru da obelodani svoje otkriće i javno objavi malver.

Potencijalna napast

Iako je KeRanger tek u kratkom periodu distribuiran preko kompromitovanog instalacionog softvera, korisnici Mac-a ne bi trebalo da budu previše ponosni. Napadači koji stoje iza ove pretnje mogu pokušati da pronađu druge kanale za distribuciju svog malvera. Pride, uspesi ovih napadača mogu biti podsticajni za druge grupe da naprave nove varijante ucenjivačkog malvera za Mac OS X platformu.

Saveti za zaštitu od ucenjivačkog malvera

– Redovno izrađujte rezervne kopije svih datoteka koje čuvate na kompjuteru. Ako vaš kompjuter bude zaražen ucenjivačkim malverom, vaši fajlovi se mogu vratiti iz rezervne kopije, odmah po uklanjanju malvera. Za izradu rezervnih kopije možete da koristite Apple Time Machine softver.

– Uvek održavajte svoj softver za bezbednost ažurnim, da biste se zaštitili od bilo koje nove varijante malvera.

– Držite ažurnim operativni sistem i sve ostale softvere koje koristite. U okviru ažuriranja softvera često se nađu zakrpe za novootkrivene ranjivosti koje bi hakeri mogli da iskoriste za napad.

– Brišite svaki sumnjivi e-mail koji dobijete, naročito ako sadrži linkove ili priloge.

Da saznate više o pretnjama koje postoje na Mac OS X operativnom sistemu i drugim Apple platformama, preuzmite i prostudirajte ovaj dokument (na engleskom): The Apple Threat Landscape

Zaštita

Bilo koji Symantec i Norton proizvod nudi zaštitu od KeRanger malvera.

bitsyu