macOS平台上首现RaaS(勒索软件即服务)模式的恶意软件
安全公司Fortinet的恶意软件分析师发现了一款名叫MacRansom的恶意软件,而它很可能是目前macOS平台上的首款以提供RaaS服务为模式的勒索软件。这也就意味着,任何人都将能够使用MacRansom来发动恶意攻击。
研究人员在分析报告中提到:“近期,我们FortiGuard Labs在TOR网络中发现了一款隐藏的RaaS(勒索软件即服务)服务,而且这项服务的人气非常的高。在此之前,几乎绝大多数的网络犯罪分子都会选择攻击Windows操作系统,但随着苹果电脑的普及程度越来越高,犯罪分子们已经逐渐将他们的注意力转移到了macOS身上,而这也是我们第一次看到针对macOS平台的RaaS。”
虽然MacRansom不像其他类似的网络威胁那样的复杂,但由于它可以加密目标用户的重要文件,因此它仍然可以给用户带来非常严重的问题和影响。更加重要的是,MacRansom是以RaaS的模式出现的,这也使得那些不具备专业黑客技术的骗子依然能够轻松地进行勒索软件活动。
分析人员表示,MacRansom变种目前还无法通过Tor网站来获取,因此有犯罪意向的骗子们必须直接联系MacRansom的作者以获取勒索软件服务。一开始,我们还认为这是犯罪分子设下的一个骗局,因为我们之前还没有获取到MacRansom的样本。为了验证MacRansom的真实性,我们专门给它的开发者发送了一封联系邮件,但出人意料的是我们真的收到了他的回复。
MacRansom采用的是对称加密,并使用了硬编码密钥,而且这款勒索软件最多只能加密128份文件,解密密钥的售价(赎金)为0.25个比特币,大约价值700美元。
研究人员在对勒索软件进行了分析之后,发现了它所使用的两组对称密钥:
ReadmeKey: 0x3127DE5F0F9BA796 TargetFileKey: 0x39A622DDB50B49E9
ReadmeKey用来解密._README_文件,其中包含勒索信息以及相关指令,而TargetFileKey可以对目标用户的文件进行加密解密操作。
MacRansom的恶意代码还会进行反分析活动,该勒索软件在开始感染之前首先会检查当前的运行环境是否为非macOS环境或调试环境。
当目标用户支付了赎金之后,MacRansom的作者还会返还30%的比特币到目标用户的比特币钱包。但前提是目标用户必须要继续传播MacRansom,用户可以通过垃圾邮件或Drive-By Download攻击等形式进行传播,不过开发者并不鼓励用户通过Drive-By Download攻击或其他手段传播定制版本的MacRansom。
Fortinet表示,在此之前像这种专门针对macOS平台的新型勒索软件其实是很少见的,虽然这种勒索软件的杀伤力并没有那些针对Windows平台的恶意软件杀伤力大,但它们仍然可以加密目标用户的文件,因此它们同样会给用户造成很大的麻烦。
值得注意的是,这个MacRansom变种很可能是一个山寨版的勒索软件,因为其中的大部分代码都是从之前曾出现过的OS X勒索软件中抄袭过来的,虽然它采用了一些反分析技术,而且这些技术与之前的OS X勒索软件有很大区别,但这些技术早就已经是恶意软件领域中得到广泛采用的技术了。话虽如此,但我们谁也不能保证将来不会出现一款针对macOS平台的创新型恶意软件。再加上macOS在全球的市场占比正在逐步提升,各大厂商是不是应该更加关注macOS平台的安全问题呢?
* 参考来源:securityaffairs, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM