Microsoft faz alerta sobre quatro famílias de ransomware para Mac

A Microsoft liberou nesta semana um relatório detalhando o comportamento de quatro famílias de ransomware, que atuam contra o sistema operacional macOS. O estudo lança luz sobre os métodos de infecção e comprometimento de arquivos, assim como as maneiras usadas pelas pragas para estabelecer persistência nos computadores e usar recursos legítimos para realizar as tarefas de travamento de arquivos.

• Como proteger o Mac contra Malware
• 10 truques que todo usuário de Mac precisa saber

No holofote estão os ransomwares KeRanger, FileCoder, MacRansom e EvilQuest. As pragas são conhecidas e já atuam há alguns anos contra usuários finais e também corporativos, mas o funcionamento delas nem sempre é amplamente divulgado devido à baixa penetração de ataques contra o macOS. Para a Microsoft, entretanto, o relatório também demonstra o alto nível das ferramentas e a superfície de ataque ampla utilizada pelos cibercriminosos.

Há um uso comum de ferramentas do sistema operacional como a busca ou recursos de linha de comando para listagem de diretórios a serem travados pelos criminosos. Interfaces de gerenciamento de arquivos também aparecem como possíveis elementos da cadeia de infecção.

Todos os ransomwares analisados, com exceção do FileCoder, são capazes de detectar se estão rodando em uma máquina virtual, interrompendo o funcionamento e apagando seus rastros caso detectem sinais assim, de forma a manter as amostras protegidas de análise. O KeRanger, também, usa execução tardia para agir, permanecendo dormente por até três dias antes de iniciar a leitura e travamento dos arquivos, de preferência em um momento de computador em repouso, sem estar sendo usado.

O KeRanger utiliza um método convencional de criptografia em formato AES para garantir o travamento dos arquivos, enquanto a encriptação simétrica, mais avançada, é a escolha dos malwares MacRansom e EvilQuest. O FileCoder, mais uma vez, foge do usual aqui, usando um compactador para zipar todos os dados do sistema operacional com senha, impedindo a recuperação, mas facilitando uma eventual devolução em caso de pagamento.

Agentes de execução e filas de kernel são usadas para garantir permanência mesmo após a reinicialização do sistema operacional em todas as pragas analisadas. Além disso, no caso do EvilQuest, também estão à disposição dos bandidos ferramentas que permitem o roubo de credenciais ou dados, o desligamento de softwares de segurança para maiores ofensivas e o controle remoto a partir de códigos enviados pelos bandidos. Ele também pode rodar a partir da memória, não deixando rastros de sua atuação no disco rígido dos computadores.

Apesar da variação de métodos, os quatro ransomwares sempre chegam aos sistemas a partir do download de softwares comprometidos. Além disso, algumas campanhas de infecção também aconteceram através de droppers, com o vírus sendo baixado a partir de outro malware, focado na intrusão inicial e com uso posterior de novas ferramentas de ataque.

Sendo assim, a recomendação aos usuários é o uso de ferramentas de segurança e monitoramento, além do cuidado no recebimento de e-mails ou arquivos anexados. Manter o computador sempre atualizado, assim como seus aplicativos, também ajuda a manter a máquina protegida.

Fonte: Microsoft