新闻快讯
< >

MacRansom:首款以RaaS服务形式出现的Mac勒索软件

E安全6月14日报道,根据微软官方提供的数据,2017年5月Windows 10系统的日活跃用户超过3亿,平均每人每天的用量为3.5个小时。我们也知道目前绝大多数恶意软件包括勒索软件都只针对Windows系统,对于绝大多数攻击者而言制作Mac或者是Linux恶意软件由于目标和受众面太小可能并不会获得太多的收益。

但安全企业Fortinet公司的恶意软件研究人员们发现有勒索软件制作者开始将目标转向Mac设备发动攻势,这款恶意软件名为MacRansom,这也是有史以来第一种以RaaS服务形式存在的Mac勒索软件。

MacRansom:首款以RaaS服务形式出现的Mac勒索软件-E安全

任何人都可以使用MacRansom进行攻击

该恶意软件通过TOR网络当中的一项隐藏服务以勒索软件即服务(简称RaaS)的形式实现作用。尽管这一威胁并不像其它类似威胁那样复杂,但由于会对受害者的文件进行加密,因此同样可能造成严重的后续影响。MacRansom作为RaaS,也就是说这款勒索软件的开发团队只负责在幕后开发软件不参与勒索,下游攻击者可以购买这款勒索软件进行传播。

Fortinet公司在发布的分析报告当中指出:

“我们刚刚在FortiGuard实验室当中发现了一种勒索软件即服务(简称RaaS),其利用托管于TOR网络当中的一套门户网站。尽管这种作法目前已经成为新的趋势,但在本案例中,我们意外地发现网络犯罪分子开始以类似的手法针对Windows之外的操作系统发起攻击——这确实值得加以关注。事实上,这很可能是历史上第一例RaaS形式的Mac OS恶意软件。”

虽然看起来MacRansom并没有比Windows的勒索软件厉害多少, 但这款勒索软件声称还能监视用户键盘记录。这意味着这款勒索软件已经不是简单的勒索功能了, 而是类似完整的木马病毒可以窥窃用户电脑里的内容了。当然最麻烦的还是这种勒索软件即服务的策略, 这可以让完全不懂开发的下游攻击者直接购买软件进行散播。

目前尚无法直接通过Tor门户获得MacRansom的变种版本,有兴趣的恶意人士需要联系该勒索软件的作者以获取更多其它针对性版本。

这份分析报告进一步补充称:

“MacRansom的变种尚无法通过该门户获取。必须联系该勒索软件的开发者以沟通其它版本获取事宜。我们起初认为这可能是个骗局,因为开发者并没有提供任何演示; 但在随后的验证当中,我们向该开发者发出了联系邮件并意外收到了回复。”

MacRansom:首款以RaaS服务形式出现的Mac勒索软件-E安全

MacRansom如何进行勒索?

这款勒索软件的开发者在暗网上发布广告称这款软件是最复杂的针对Mac平台的勒索软件。购买者在支付费用后可以要求开发团队设置软件的触发时间并可以选择是否延迟加密即可以不立即加密文件。

MacRansom利用硬编码密钥实现对称加密,而且该勒索软件最多只能加密128个文件; 在解密密钥方面,作者要求受害方支付0.25比特币(约700美元)。

研究人员发现了两组由该勒索软件使用的对称密钥:

ReadmeKey: 0x3127DE5F0F9BA796

TargetFileKey: 0x39A622DDB50B49E9

其中的ReadmeKey用于加密包含有勒索词与指令的._README_file,而TargetFileKey则用于加密及解密受害者的文件。

比较有意思的是,这款勒索软件除会加密外还会把原始的文件给加密并修改时间用来防止被恢复工具恢复出来。

通过对恶意代码的执行进行逆向分析,我们发现该勒索软件首先会检查自身是否处于非Mac环境或者调试环境当中。

一旦受害者支付赎金,该作者会将30%的金额发送回客户的比特币地址。

而客户方面则需要传播该威胁,例如通过电子邮件发布下载驱动型攻击。

开发者并不鼓励采取下载驱动型攻击或者其它需要上传MacRansom定制化版本的传播方法。

Fortinet公司总结称:

“我们很少看到新型且专门针对Mac OS平台的勒索软件。尽管其实际水平远远低于目前Windows系统所面临的大多数勒索软件,但仍然有能力加密受害者的文件或者阻止用户对重要文件的访问,因此完全可以造成实质性损害。”

“最后但同样重要的是,这款MacRansom的变种很可能是由模仿者加工并利用。因为我们从其中发现了很多提取自过往Mac OSX勒索软件的类似代码与设计思路。尽管其与之前的Mac OSX勒索软件采用不同的反分析技术,但这些技术早已被众多恶意软件作者广泛部署在自己的攻击工具当中。MacRansom无疑是勒索软件威胁大规模盛行的又一大实例,意味着任何一种操作系统平台都有可能遭受此类危害。”

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。