MacRansom en MacSpy verspreiden zich om Mac gebruikers angst aan te jagen


Hoewel recente ransomware- en malware-aanvallen die onlangs de headlines de hebben bereikt, hebben veel Mac-gebruikers een onjuist gevoel van veiligheid. Terwijl veel Mac-gebruikers hebben geprezen over hun besturingssysteem en hoe ze ervan uitgaan dat hun MacOS bestand is tegen dit soort aanvallen is dit een valse gedachte. De recente opkomst van MacRansom, ransomware gericht op MacOS en MacSpy, spyware die ook gericht is op MacOS, zou de Mac-gebruiker mogelijke angst kunnen aanjagen.

Hoewel veel Mac-gebruikers geloven dat hun systeem van keuze superieur is in termen van beveiliging, in vergelijking met de tegenpartij Microsoft. De realiteit is dat door Microsoft Windows meer dan 90% van het marktaandeel met betrekking tot besturingssystemen is, is het vaak niet de moeite waard dat cybercriminaliteit zich richten op Mac OS.

macransom voorbeeld

MacRansom

Op 25 mei 2017 verschijnt op het Dark Web een Ransomware dienst (RaaS), die bedoeld is om ransomware te huren zoals eerder gezien in RaaS-schema’s, die nu de klassieke modus in dienst zijn van cybercriminelen. Het waren aanvankelijk onderzoekers van Fortinet die in staat waren om volledig werkende monsters van de ransomware te verwerven. Dit werd moeilijk gemaakt omdat de portal die de malware aanbeveeld, potentiële klanten nodig heeft om direct contact op te nemen met de auteur om de kosten te verkrijgen en uiteindelijke de ransomware gebouwd dient te worden. Aanvankelijk dachten de onderzoekers dat dit een oplichterij, maar dit was niet zo.

Volgens de communicatie van de auteur en het portaal is de ransomware geadverteerd om volledig onzichtbaar te zijn, 128-bits encryptie, die onbreekbaar is, geen digitaal trace, en kan binnen enkele minuten worden geïmplementeerd om uiteindelijk de encryptie  van bestanden te voltooien. Uit onderzoek en analyse blijkt dat zodra de ransomware vraagt om bevestiging van de root gegevens, wordt op het scherm weergegeven dat u een programma van een onbekende ontwikkelaar wilt uitvoeren. Als de gebruiker dan klikt op “Openen” zal de ransomware worden uitgevoerd, als ze niet op “Openen” klikken, wordt de ransomware niet uitgevoerd en worden geen bestanden gecodeerd.

Zodra het programma begint te draaien, zal het eerst controleren of het is uitgevoerd in een niet-Mac-omgeving of als het is gebroken. Zo ja, zal het beëindigen (virtual machine detectie noemen we dat). Zodra aan deze voorwaarden is voldaan, wordt het machinemodel gecontroleerd en vergelijkt dat met de “Mac” -reeks. Ten slotte zal het controleren of de computer twee CPU’s heeft. Zodra deze aanvankelijke controles zijn doorgegeven, zal de ransomware een startpunt creëren die ervoor zorgt dat encryptie begint op de startdatum, een specifieke datum die door de auteur en de persoon die de RaaS aanvaardt overeengekomen. De ransomware zal beëindigen als het wordt geactiveerd voor de opgegeven triggerdatum.

Op de ransom informatie worden de slachtoffers op het volgende e-mailadres [email protected] op de hoogte gebracht, en losgeld van 0,25 (ongeveer 700 USD) Bitcoin wordt gevraagd om de bestanden terug te kunnen halen.

MacSpy

Geadverteerd op het Dark Web als de meest geavanceerde spyware gericht op Mac OS-gebruikers tot op heden. Beschikt MacSpy over tal van functies, waaronder elke 30 seconden schermweergave, keylogging, kan iCloud synchroniseren met minder dan 0,1% van de CPU verwerkingsvermogen onzichtbaar blijven en internet gedrag informatie opnemen.

MacSpy heeft niet alleen de bovengenoemde kenmerken, maar beschikt ook over tal van geavanceerde functies die spionagebureaus globaal jaloers zouden maken. Aangeboden als malware als dienst (MaaS) zoals de ransomware die is besproken. Onderzoekers bij AlienVault slaagde erin om toegang te krijgen tot de malware en vonden het niet zo verfijnd als andere soortgelijke schema’s, waarbij de bestanden naar de onderzoekers werden verzonden met een notitie en een .zip-bestand met de relevante uitvoerbare bestanden.

De malware zelf heeft verschillende maatregelen die bedoeld zijn om analyse te belemmeren en debugging te voorkomen. Het zal ook het omgeving controleren waarin het is gestart om niet op een virtuele machine te draaien. Bij deze MacSpy wordt ook gecontroleerd of het aantal CPU’s groter is dan 1, het aantal logische kernen groter is dan 3 en het aantal logische kernen is twee keer het aantal fysieke kernen. Verder controleert MacSpy ook dat er minimaal 4 GB geheugen op de host is en dat het op een Mac-machine wordt gestart. Allerlei technieken om Virtual Machine’s en debugging te voorkomen.

Zodra al deze checks zijn doorgegeven, zal de malware zichzelf kopiëren en het origineel van zichzelf verwijderen. Het zal vervolgens fugeren als een Tor-proxy om contact op te nemen met een controle- en commando-server om gegevens te verzenden. Nadat gegevens zijn verzonden, verwijdert de malware de tijdelijke bestanden die de gegevens bevatten. Het proces zal dan weer beginnen.

Terwijl MacOS gebruikers in het verleden redelijk veilig waren, is dat anno 2017 een stuk minder, omdat meer mensen MAC-producten kopen, worden de doelstellingen voor malware en ransomware bijsteld richting MacOS.

Nieuwe studies hebben aangetoond dat er sprake is van een toename in het aantal malware dat specifiek is gericht op Mac-gebruikers.

Hoewel het blijkt dat althans de hierboven genoemde ransomware mogelijk het werk is van copycats en niet geavanceerd is bij het gebruik van aanvalvectoren of -codes, is het nog steeds in staat om bestanden te versleutelen, dus is het nog steeds een bedreiging.

MacOS gebruikers u bent gewaarschuwd. Download alleen software uit de Mac App Store en zorg ervoor dat als u software opent, het een bekende auteur is. Zodra MacOS aangeeft dat het mogelijk gevaarlijke software is, open het niet…

Succes!




Laat een bericht achter, we horen graag van u.