MacRansom RaaS Potentially Créé par Copycats


Une famille de ransomware nouvellement découverte ciblant les utilisateurs de Mac utilise le modèle de distribution Ransomware-as-a-service (RaaS) et utilise un code copié du ransomware MacOS précédent, ont averti les chercheurs de Fortinet .

Appelé MacRansom la menace utilise un portail Web hébergé sur TOR, mais les échantillons ne sont pas facilement accessibles via le portail, et les parties intéressées doivent contacter l'auteur directement pour les obtenir . Les criminels Wannabe peuvent spécifier un montant de rançon, une date pour déclencher le ransomware et si le malware doit s'exécuter lorsque quelqu'un se branche dans un lecteur USB.

Étant donné que l'auteur du ransomware, qui semble être situé dans le fuseau horaire GMT-4, n'a pas utilisé de certificat de sécurité, les utilisateurs sont averti que le programme qu'ils sont sur le point d'exécuter provient d'un identifiant non identifié Développeur, dit Fortinet.

Une fois exécuté, le malware vérifie son environnement et s'il est débogué et se termine si il détecte une plate-forme non-Mac ou un débogueur. Le ransomware vérifie également si la machine sur laquelle il s'exécute comporte deux CPU.

Après ces vérifications initiales, le malware crée un point de lancement dans ~ / LaunchAgent / com.apple.finder.plist, ce qui assure qu'il s'exécute à chaque démarrage (en imitant un fichier légitime dans MacOS, le Les logiciels malveillants tentent de réduire les soupçons d'activités néfastes). L'exécutable original est copié sur ~ / Library / .FS_Store et son horodatage a changé, pour confondre les enquêteurs.

Le cryptage a un temps de déclenchement, qui est défini par l'auteur, et qui garantit que le ransomware se terminerait si le courant …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Font Resize
Contrast
Aller à la barre d’outils