KeRanger: Primeiro Ransomware visando usuários de Mac encontrado em cliente BitTorrent

No final de semana, uma notificação no site Transmissionbt.com avisava aos usuários para atualizarem imediatamente o Transmission, um cliente BitTorrent popular multiplataforma de código aberto, para a versão 2.91 ou removessem a versão 2.90. O alerta foi causado pela descoberta do “KeRanger”, que se acredita ser o primeiro malware no mundo especificamente projetado para infectar máquinas OS X.

As primeiras pistas do ataque chegaram na tarde de 5de março, quando usuários de um fórum notaram que as instalações do Transmission 2.90 – baixadas via HTTP e não do site HHTP do Transmission – continham malware. A mudança de link aponta para a possibilidade de que o site do Transmission tenha sido comprometido por agressores que substituíram o instalador legítimo por um que foi recompilado com arquivos maliciosos. As pessoas que baixaram o instalador do Transmission 2.90 do site oficial entre 11:00 PST de 4 de março e 19:00 PST de 5 de março podem ter baixado arquivos que instalam o KeRanger(₁).

(1) A Trend Micro detecta como RANSOM_keRanger.A

O agressor usou um certificado de desenvolvimento de aplicativo Mac legítimo para contornar a proteção do Gatekeeper da Apple. O Gatekeeper é um recurso de segurança que exige um Developer ID exclusiva da Apple, que os desenvolvedores usam para verificar e assinar digitalmente seus aplicativos. A Apple utiliza esse recurso para bloquear aplicativos que podem ter sido adulterados e também os que foram feitos por desenvolvedores desconhecidos. Qualquer aplicação baixada que esteja assinada com um Developer ID é impedida de ser instalada. O método usado para contornar essas medidas de segurança da Apple pode ser um sinal de ataques similares no futuro.

Além de ter sido reconhecido como o primeiro ransomware a afetar a plataforma OS X, esse ataque também se destaca pela forma como foi enviado. O KeRanger chega através de um aplicativo cavalo de Troia, o que é incomum para o crypto ransomware que normalmente infecta sistemas alvos por meio de links maliciosos.

Depois de entrar no sistema da vítima, ele funciona como um crypto ransomware típico. De acordo com a análise, o KeRanger espera três dias depois da infecção antes de se conectar a um servidor comando & controle pela rede Tor, depois criptografa certos tipos de documentos e arquivos no sistema da vítima. Depois de feito isso, o KeRanger mostra a nota de resgate, exigindo 1 bitcoin (2) para decodificar os arquivos bloqueados.

(2) 1 Bitcoin vale cerca de $405 dólares

Depois dos três dias de espera, após a instalação do aplicativo comprometido entregue entre 4 e 5 de março, os primeiros casos de criptografia para os que foram infectados (e não removeram os arquivos maliciosos) devem chegar em 7 ou 8 de março.

A mensagem de alerta no transmissionbt.com também foi atualizada em 6 de março, aconselhando todos os usuários a atualizarem para o Transmission 2.92. Apesar da versão 2.91 estar limpa, ela não removeu os arquivos maliciosos. A versão 2.92 remove esses arquivos maliciosos dos sistemas infectados.