Nota del editor: el nombre original del malware, EvilQuest, ha cambiado debido a un juego legítimo del mismo nombre a partir de 2012. El nuevo nombre, ThiefQuest, también es más adecuado para nuestra comprensión actualizada del malware.
El malware ThiefQuest , que se descubrió la semana pasada, puede no ser realmente ransomware según los nuevos hallazgos. Los comportamientos que se han documentado hasta ahora siguen siendo precisos, pero ya no creemos que el rescate sea el objetivo real de este malware.
¿Por qué? Esa es una gran pregunta, y ha habido varias migas de pan que nos han llevado a esta conclusión.
Comportamiento improbable de rescate
La presencia de keylogging y código de puerta trasera , descubierta por Patrick Wardle, es inusual en el ransomware. Inédito en Mac, realmente, pero no hemos visto mucho ransomware en este lado de la calle. Este descubrimiento indicó que había algo extraño en esta amenaza.
También hay varias pistas que quedan a la derecha en la nota de rescate:
La primera pista es que el precio de descifrado es de $ 50 USD. Ese es un precio extrañamente bajo, y en USD en lugar de Bitcoin, y se esperaría que la víctima calcule la cantidad correcta de Bitcoin al tipo de cambio en ese momento. Sin embargo, esto por sí solo no es prueba de nada.
Lawrence Abrams , de Bleeping Computer, que tiene más experiencia con ransomware en el mundo de Windows, notó otro hallazgo que la mayoría de los investigadores de Mac que estaban investigando. No se proporcionó una dirección de correo electrónico en la nota de rescate, por lo que no hay forma de ponerse en contacto con los delincuentes detrás del malware para obtener su clave de descifrado, y tampoco hay manera de que se comuniquen con usted.
Además, cuando se compararon las notas de rescate obtenidas de diferentes sistemas, se descubrió que la dirección de Bitcoin dada es la misma para todos. Esto significa que no habría forma de que los delincuentes verifiquen quién pagó el rescate.
Finalmente, aunque hay una rutina de descifrado en el malware, los hallazgos de Patrick Wardle mostraron que no se llamó en ninguna parte del código del malware, lo que significa que la función está huérfana y nunca se ejecutará.
Esto, más la extraña reticencia mostrada por el malware para encriptar cualquier cosa, sugiere que el rescate es simplemente una distracción. (Solo pude cifrar archivos una vez, y esa no fue la misma instalación donde el malware me gritaba cada cinco minutos que había cifrado mis archivos cuando en realidad no lo había hecho).
Mientras miraba la actividad de red desde una instalación activa de ThiefQuest, noté que estaba haciendo literalmente cientos de conexiones al servidor de comando y control (C2) rápidamente.
Como un mago, distrayendo su ojo con una mano mientras la otra realiza un poco de mano, este malware parece estar haciendo mucho ruido para cubrir lo que ahora creemos que es su verdadero objetivo: la exfiltración de datos.
Exfiltración?
Para aquellos que no están familiarizados con el término, la exfiltración de datos es simplemente un robo de datos. Se utiliza para referirse al acto de malware que recopila datos de una máquina infectada y los envía a un servidor bajo el control del atacante.
En el caso de ThiefQuest, había un script de Python que se soltó en el sistema, pero no de manera confiable. (No lo obtuve en todas las instalaciones). Ese script se usó para filtrar datos.
Este script explora todos los archivos de la /Users/carpeta (la carpeta que contiene todos los datos de usuario para todos los usuarios de la computadora) en busca de cualquier archivo que tenga ciertas extensiones, como .pdf, .doc, .jpg, etc. Algunas extensiones en particular indican puntos de interés para el malware, como .pem, utilizado para claves de cifrado, y .wallet, utilizado para billeteras de criptomonedas.
Esos archivos luego se cargan a través de HTTP sin cifrar, uno tras otro. El examen de los paquetes de red mostró que contenían una cadena con dos piezas de información: una ruta de archivo y una cadena aleatoria de caracteres.
c = VGhpcyBpcyBhIHRlc3QK & f =% 2FUsers% 2Ftest% 2FDocuments% 2Fpasswords.doc
El archivo passwords.doc al que se refiere fue un archivo señuelo que contenía el texto «Esta es una prueba». La cadena aparentemente aleatoria VGhpcyBpcyBhIHRlc3QK, es una cadena codificada en base64 que, cuando se decodifica, muestra el contenido del archivo.
Por lo tanto, el malware exfiltraba cientos de archivos a través de HTTP sin cifrar.
Entonces, ¿qué es este malware de Mac?
Según Abrams, dicho malware en el mundo de Windows se conoce como un «limpiador». Este tipo de malware a menudo está destinado a robar datos y borrar el sistema, en parte o en su totalidad, para cubrir sus huellas.
Por lo general, se implementa un limpiador en ataques dirigidos contra una organización en particular. A veces, como ha sido el caso con el malware, como el infame NotPetya, ese malware se extenderá más allá del objetivo, o puede propagarse intencionalmente ampliamente para ocultar quién es el objetivo.
En este punto, no hay indicios de que este sea un ataque dirigido. Hasta ahora, también está en todo el tablero, con avistamientos aleatorios en todo el mundo.
Hay alguna indicación de que esto puede ser solo una prueba de concepto (PoC), como el siguiente comentario en un script de Python asociado con el malware:
# n__ature comprobación de PoC # TODO: los PoC son geniales, pero esto # entrega mucho mejor cuando se implementa en # producción
Siempre soy reacio a creer lo que me dice una pieza de malware. Esto puede ser una pista falsa, o puede ser un comentario antiguo que nunca se eliminó, o tal vez ese script Python en sí mismo es el PoC. Aún así, la aparente falta de pulido en este malware podría significar que no estaba realmente listo para su lanzamiento.
Capacidades adicionales
Como se mencionó anteriormente, este malware también parece incluir código para el registro de teclas y para abrir una puerta trasera para brindarle al atacante acceso prolongado a su Mac. Esto es inusual para el ransomware, pero no es realmente inusual para nuestra nueva comprensión del malware.
Sin embargo, más inesperado es el hecho de que el malware parece incluir código que se comporta como la definición de virus de un libro de texto, algo que no se ha visto en Mac desde el cambio de System 9 a Mac OS X 10.0.
Anteriormente notamos que el malware se inyectó en algunos archivos relacionados con la Actualización de software de Google, y encontramos esto bastante desconcertante, ya que Google Chrome detectará los cambios y reemplazará los archivos manipulados con archivos limpios. Sin embargo, los nuevos hallazgos sobre el comportamiento viral de Patrick Wardle revelaron más información sobre cómo está sucediendo esto.
Un virus es un tipo específico de malware que agrega código malicioso a aplicaciones o ejecutables legítimos, como una forma de propagar o reinfectar una máquina.
El malware realmente buscará en la carpeta / Users / buscando archivos ejecutables. Cuando encuentre uno, antepondrá un código malicioso al comienzo del archivo. Esto significa que cuando se ejecuta el archivo, el código malicioso se ejecuta primero. Ese código copiará el contenido del archivo legítimo en un archivo nuevo e invisible y lo ejecutará.
El acto de reemplazar o modificar un archivo legítimo con uno malicioso, y luego ejecutar un código legítimo para que parezca que no pasa nada, no es nuevo en macOS. De hecho, el primer ransomware Mac real, KeRanger, se propagó a través de una copia modificada de la aplicación de transmisión torrent. El atacante modificó la transmisión y luego pirateó el sitio web de la transmisión para difundir la versión envenenada de la aplicación.
Sin embargo, hasta ahora, esto lo había hecho manualmente un atacante para modificar una aplicación legítima para distribución maliciosa. El malware no ha hecho esto de manera automatizada desde los días del Sistema 1 al Sistema 9, cuando se vieron los virus Mac por última vez.
¿Qué debo hacer si estoy infectado?
La intención del malware no cambia su eliminación, y Malwarebytes para Mac aún eliminará todos los componentes conocidos del malware.
Sin embargo, hay algunas otras consideraciones. Es completamente posible que los archivos ejecutables en una Mac infectada puedan haber sido modificados maliciosamente, y estos cambios pueden no ser detectados por el software antivirus. Incluso si lo son, la eliminación de esos archivos puede causar daños en el software de su sistema. Por lo tanto, debido a este peligro y al probable daño a los datos del usuario, puede ser prudente restaurar un sistema infectado a partir de copias de seguridad en lugar de tratar de desinfectarlo.
Recuperarse del robo de datos puede ser más difícil, en algunos aspectos, que recuperarse del ransomware. Si tiene buenas copias de seguridad, recuperarse del ransomware es relativamente fácil. ¡Sin embargo, no hay que recuperar datos robados!
Si estaba infectado, pase un tiempo pensando en los datos que tiene que pueden haber sido robados. Cómo responde depende de los datos. Si tenía tarjetas de crédito en los datos de su carpeta de usuario, puede considerar cancelarlas. Si había información personal confidencial, como números de seguro social, considere bloquear su crédito con las agencias de crédito. Si tenía contraseñas, cámbielas siempre que las use.
Sin embargo, en última instancia, la información personal que ha sido robada está para siempre en otras manos. En casos de información vergonzosa o perjudicial que se filtró, no hay recuperación. Si el atacante decide hacer algo malicioso con eso, chantaje, por ejemplo, no puede protegerse.
Por lo tanto, es mejor no confiar en el cifrado de FileVault en su disco duro. Eso es excelente para proteger sus datos si su Mac es robada, pero no tanto contra el malware que se ejecuta en la máquina. Si tiene datos altamente confidenciales, asegúrese de que estén encriptados independientemente de alguna manera. La prevención es siempre la mejor protección.
Sobre el autor