В даркнете обнаружен «самый совершенный в истории» вирус-вымогатель для Mac
В даркнете экспертами из компании Fortinet обнаружено предложение ransomware-as-a-service (RaaS), впервые нацеленное на пользователей Mac. Речь идет о вредоносном ПО, шифрующем файлы на диске и требующем от пользователей деньги за разблокировку.
Сервисы ransomware за долю в доходах открывают возможность заняться кибервымогательством преступникам, не обладающим достаточной квалификацией для создания нужного кода своими силами. Такие службы начиная с прошлого года предлагаются для Windows, но Mac до сих пор не имели специализированных решений «ransomware для чайников».
Первенец в этой категории имеет название MacRansom и рекламируется на веб-портале TOR как «самое совершенное ransomware для Mac всех времен». Вторая называется MacSpy (OS X RAT as a Service) и предназначена для шпионажа за пользователями Mac.
Исследователям безопасности удалось изучить образцы двух новых вредоносных семейств для Mac, которые в течение трех недель сдаются в аренду на подпольных ресурсах.
MacSpy предлагает шпионское ПО для Mac по бизнес модели «вредоносное ПО как услуга» (Malware-as-a-Service, MaaS). Второй ресурс, MacRansom, предлагает вымогательские программы по уже ставшей классической схеме «вымогательское ПО как услуга» (Ransomware-as-a-Service, RaaS). Оба вредоноса созданы одним и тем же разработчиком.
Ресурсы являются «закрытыми», то есть, для обсуждения оплаты и получения демо-версии программ потенциальные клиенты должны связаться непосредственно с их автором. Экспертам Bleeping Computer это не удалось, зато специалисты из Fortinet и AlienVault все же заполучили образцы MacRansom и MacSpy соответственно.
Исследователи проанализировали вредоносы и пришли к одному и тому же выводу - их автором является малоопытный разработчик. Несмотря на создание MaaS-портала, он уделил мало внимания качеству своего продукта, к примеру, код MacSpy был скопирован из Stack Overflow. И у MacSpy, и у MacRansom отсутствуют цифровые подписи, поэтому попытка их выполнения на macOS со стандартными настройками вызовет появление уведомлений безопасности.
Количество зашифрованных MacRansom файлов не может превышать 128. По мнению экспертов, это означает, что код, используемый этим сервисом, более примитивен, чем другие уже известные образцы. Тем не менее, MacRansom успешно шифрует файлы и затрудняет возможное расследование. Кроме того, работа ransomware останавливается при детектировании отладчика, запуска этого кода в среде, отличной от macOS, и при обнаружении второго центрального процессора.
Жертвам MacRansom выдвигается требование выкупа в размере 0,25 Bitcoins (порядка $700) и устанавливается недельный срок выплаты, после которого файлы будут удалены. Примечательно, что MacRansom не подключается к C&C-серверу, а значит, возможность восстановить зашифрованные файлы отсутствует.
Что касается MacSpy, то ее бесплатная версия позволяет регистрировать нажатия клавиш, сохранять снимки экрана и копировать файлы, синхронизируемые с iCloud.
В настоящее время какие-либо вредоносные кампании с использованием вышеупомянутых программ пока зафиксированы не были. Вероятно, это связано со сложным процессом, который должны пройти потенциальные клиенты перед тем, как получить ПО.