Más pruebas de la existencia del ransomware para Mac

ActualidadMalwareApplemalwareRansomware

Más pruebas de la existencia del ransomware para Mac

Lo llevamos diciendo desde hace tiempo, el malware para Mac es menos habitual que el que tiene como objetivo Windows, pero esto no significa que no existan amenazas.

En las predicciones de SophosLabs para este año, incluíamos malware para Mac creado para recopilar datos, acceder encubiertamente a los equipos y ransomware.

El ransomware para Mac ya existía con el malware OSX/Filecode-K y OSX/Filecode-L. Ahora surge un nuevo caso con OSX/Ransom-A. Se trata de un caso de ransomware-como-servicio (RaaS) para Macs, que es popularmente conocido como MacRansom.

¿Cómo funciona?

Este ransomware no circula por Internet. Los que quieran testarlo deben contactar a sus creadores a través de una dirección de correo electrónico segura de ProtonMail. SophosLabs ha obtenido un ejemplo y hemos realizado las siguientes observaciones.

Cuando se instala por primera vez el malware OSX/Ransom-A, no aparecerá ninguna ventana pidiendo una contraseña. El malware se instala silenciosamente sin levantar sospechas.

OSX/Ransom-A se copia a sí mismo en una carpeta llamada “~/Library/.FS_Storage”, escondiéndose, efectivamente, a plena vista (el nombre de la carpeta ~/ es un atajo de Unix para referirse a la carpeta de inicio del usuario).

La carpeta “Library” se usa en macOS para almacenar decenas de ficheros de configuración en sus correspondientes carpetas, por lo que es un lugar perfecto para que el malware se disfrace como contenido inofensivo.

En macOS, que tiene como base Unix, los ficheros y carpetas que comienzan por un punto, son invisibles a las búsquedas por defecto, por lo que es fácil que nunca detectes la carpeta “.FS_Storage”.

Incluso si te das cuenta de la presencia de esta carpeta, su nombre puede que te engañe ya que es muy parecido a “.DS_Store”, una carpeta usada por macOS que puede que conocieras anteriormente.

Una vez activado, OSX/Ransom-A sigue el proceso habitual de cifrado de ficheros y demanda de pago de rescate para obtener la clave necesaria para recuperar la información.

Es de destacar que este malware comienza su trabajo por la carpeta “Volumes”, que es donde se encuentran todos los discos duros vinculados al ordenador, incluidas las copias de seguridad de Time Machine, los USB u otros dispositivos de almacenamiento que tengas conectados.

En otras palabras, si normalmente dejas los discos de tus copias de seguridad enchufados en el ordenador, también estarán expuestas a malware de este tipo, por eso siempre recomendamos almacenar las copias de seguridad offline y offsite.

¿Ahora qué?

MacRansom es una prueba que los ciberdelincuentes están trabajando en maneras de atacar a los usuarios de Mac. Deberíamos tomarnos esto como un ejercicio, por lo tanto os ofrecemos los siguientes consejos.

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.