Dos tipos de Malware como servicio a la venta en la darknet

0
861
views

Dos piezas de Malware para Mac, MacRansom y MacSpy, fueron creados por un desarrollador y se están vendiendo por dos diferentes portales en la Darkweb.

Mac malware-as-a-Service

El desarrollador de malware ofrece a través de un “modelo de servicio”, y los compradores reciben indicaciones para contactar al desarrollador directamente por una dirección de Protonmail para negociar términos, explicar sus necesidades y así obtener el malware.

MacSpy

MacSpy viene en dos versiones, la gratis que es lo básico del programa, y la versión completa que cuesta una cantidad desconocida de bitcoins.

Aparentemente, la versión básica captura fotos de la pantalla de la víctima, guarda las teclas que se hayan presionado, también el audio, roba fotos, enlaces  los que se hayan entrado, historial de navegación y descargas. Sin embargo, la versión avanzada hace todo lo anterior pero también localiza la dirección de la víctima y permite el acceso a correos electrónicos y redes sociales.

MacRansomware

El desarrollador dice que el ransomware usa “encriptamiento  irrompible” pero no ofrece más detalles del programa en el portal en la darkweb

Investigadores Fortinet han analizado una muestra que recibieron directamente del desarrollador y notaron que:

  • Sólo logra encriptar 128 archivos
  • Utiliza encriptación simétrica con una clave codificada
  •  Hay dos conjuntos de claves simétricas utilizadas por el ransomware: un ReadmeKey y un TargetFileKey. El primero se utiliza para descifrar un archivo con la nota de rescate y las instrucciones, y el segundo para cifrar y descifrar los archivos.

“Una cosa notable que observamos al hacer ingeniería inversa del algoritmo de cifrado / descifrado es que el TargetFileKey se permuta con un número generado al azar. En otras palabras, los archivos cifrados ya no se pueden descifrar una vez que el malware se ha terminado – el TargetFileKey será liberado de la memoria del programa y por lo tanto se vuelve más difícil crear un descifrador o herramienta de recuperación para restaurar los archivos cifrados.”

“Además, no tiene ninguna función para comunicarse con cualquier servidor C & C para el TargetFileKey, lo que significa que no hay una copia disponible de la clave para descifrar los archivos. Sin embargo, todavía es técnicamente posible recuperar el TargetFileKey. Una de las técnicas conocidas es usar un ataque de fuerza bruta. No debe tomar mucho tiempo para una CPU moderna realizar un ataque de fuerza bruta a una llave de 8 bytes de largo cuando la misma clave se utiliza para cifrar los archivos conocidos con el contenido del archivo predecible. Sin embargo, seguimos siendo escépticos de la afirmación del autor de ser capaz de descifrar los archivos secuestrados, incluso suponiendo que las víctimas enviaron al autor un archivo aleatorio desconocido.”

Lo que los dos malware tienen en común

 

Los dos malware fueron desarrollados por la misma persona.

Están imbuidos de las mismas contramedidas anti-análisis (una comprobación anti-depurador idéntica, un código adicional que comprueba si se está ejecutando en un depurador, una comprobación para ver si se está ejecutando en una máquina virtual, un chequeo para ver si se está ejecutando En una máquina Mac), y utilizar la misma táctica para crear un punto de lanzamiento para el software, por lo que se ejecuta en cada inicio.

ambos malware no están firmados digitalmente, entonces si el objetivo descarga el malware y lo ejecuta. el sistema operativo mostrará un aviso diciendo que el programa viene de una organización/desarrollador desconocido, que se tenga precaución.

El desarrollador del malware aconseja poder tener acceso directo a la computadora físicamente para poder instalar y ejecutar el malware.

También se aconseja evitar todo este tipo de problemas siguiendo ciertos puntos:

  • Limitando el acceso a la computadora introduciendo contraseña para acciones importantes.
  • Evitar utilizar software de fuentes desconocidas
  • Regularmente hacer respaldo de los datos.

via

 

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop