image

Onderzoeker onthult eerste ransomware voor Mac

vrijdag 6 november 2015, 12:12 door Redactie, 15 reacties

Een Braziliaanse onderzoeker heeft de eerste ransomware voor Mac OS X ontwikkeld, naar eigen zeggen om de mythe te doorbreken dat er geen malware voor de Mac bestaat. Rafael Marques noemt zijn creatie 'Mabouia' en het gaat hier om een zogeheten 'proof-of-concept'.

Een creatie die puur voor demonstratiedoeleinden is bedoeld en de onderzoeker in twee dagen schreef. Hij zal de broncode van de malware dan ook niet publiceren. Hoewel er al eerder 'ransomware' voor de Mac verscheen ging het in deze gevallen om JavaScriptcode die de browser vergrendelde en een waarschuwing liet zien die zogenaamd van de FBI of Europol afkomstig was. Bestanden op de computer bleven onaangetast.

De ransomware van Marques versleutelt wel degelijk bestanden en gebruikt hiervoor het eXtended Tiny Encryption Algorithm (XTEA) en stuurt de sleutel vervolgens naar een server. Ook ontwikkelde de onderzoeker een manier om de bestanden weer te ontsleutelen. Critici stellen dat de ransomware niet zo complex is als de ransomware voor Windows. "Ik heb ook nooit gezegd dat [de ransomware] complex is. Ik heb het in twee dagen gemaakt. Maar het is nog steeds de eerste Mac OS X-ransomware", zo laat de onderzoeker via Twitter weten. Tevens maakte hij deze demonstratievideo.

Image

Reacties (15)
06-11-2015, 12:56 door [Account Verwijderd] - Bijgewerkt: 06-11-2015, 13:16
[Verwijderd]
06-11-2015, 13:25 door Anoniem
Door MAC-user: Interessant, maar via TimeMachine maak ik regelmatig kopieën van mijn bestanden.
Die worden op een externe harde schijf bewaard, los v/h systeem en daar kan Ransomware nooit bijkomen.
Zou er toch een infectie komen (en mijn virusscanner merkt niets) dan is het probleem in een aantal minuten zo verholpen.

Dat is natuurlijk niet de essentie van het stuk. Zoals de onderzoeker zelf al aangeeft betreft het hier een eenvoudige vorm die in twee dagen is gemaakt. Stop er wat meer tijd in, en je krijgt een wat geavanceerdere versie die meer kan.

Blijkbaar is het dus niet zo ingewikkeld om ransomware voor een Mac te schrijven, maar is het (nog) niet rendabel genoeg (voor Cybercriminelen) om hier moeite in te stoppen (kosten/baten)

Overigens is het maken en kunnen terugzetten van een backup een goede oplossing voor het herstellen van een, door ransomware getroffen, computer.
06-11-2015, 13:29 door karma4
Door MAC-user: Interessant, maar via .... maak ik regelmatig kopieën van mijn bestanden.
Die worden op een externe harde schijf bewaard, los v/h systeem en daar kan Ransomware nooit bijkomen.
Zou er toch een infectie komen (en mijn virusscanner merkt niets) dan is het probleem in een aantal minuten zo verholpen.
Je onderbouweing geld voor elke OS en voor elke omgeving. je hebt daar gelijk in .... maar...

Je zou de eerste niet zijn die pas merkt dat de backup niet goed is op het moment dat hij hem nodig heeft.
Voor de ICT checklist stond vroeger in het afvinklijstje, heft u een backup j/n. Het is tegenwoordig vervangen door: "kunt u (jaarlijks/kwartaal) aantonen dat u de DR/backup volledig kunt uitvoeren?". Kijk dan naar een aantal praktijkervaringen en dan is het na de 3-e of meer herstelactie tijdens zo'n oefening dat het lukt. Feitelijk zijn het mislukkingen. Het moet in 1 keer goed als de nood echt aan de man is.
06-11-2015, 13:33 door Anoniem
Door MAC-user: Interessant, maar via TimeMachine maak ik regelmatig kopieën van mijn bestanden.
Die worden op een externe harde schijf bewaard, los v/h systeem en daar kan Ransomware nooit bijkomen.
Zou er toch een infectie komen (en mijn virusscanner merkt niets) dan is het probleem in een aantal minuten zo verholpen.
Gefeliciteerd, je hebt ontdekt dat een externe backup maken best handig kan zijn, chapeau! [/End Sarcasm]

Grappig nieuwtje, maar niet echt baan brekend.
06-11-2015, 13:37 door Anoniem
Door MAC-user: Interessant, maar via TimeMachine maak ik regelmatig kopieën van mijn bestanden.
Die worden op een externe harde schijf bewaard, los v/h systeem en daar kan Ransomware nooit bijkomen.
Zou er toch een infectie komen (en mijn virusscanner merkt niets) dan is het probleem in een aantal minuten zo verholpen.
Een beetje slimme ransomware probeert dan ook de TimeMachine backups ook te versleutelen of verklooien. (voordat de actieve files versleuteld worden!)
06-11-2015, 13:40 door [Account Verwijderd] - Bijgewerkt: 06-11-2015, 13:41
[Verwijderd]
06-11-2015, 13:41 door [Account Verwijderd]
Door MAC-user: Interessant, maar via TimeMachine maak ik regelmatig kopieën van mijn bestanden.
Die worden op een externe harde schijf bewaard, los v/h systeem en daar kan Ransomware nooit bijkomen.
Zou er toch een infectie komen (en mijn virusscanner merkt niets) dan is het probleem in een aantal minuten zo verholpen.

Mac-user, ik ben ook Mac user, naast Windows maar dat terzijde.
Heb je ooit een Time Machine kopie teruggezet? Zo'n gemiddelde, anno 2015 gebruikelijk, van 750GB? Neem maar een halve dag vakantie.
Ander punt, wat wil je hier nu duidelijk maken maken?
En daarnaast, als het over de hedendaagse ransomware gaat is er geen sprake van een 'infectie' maar slechts van een eenzame pagina (waarvan de scripting niet functioneert in OSX) in je browser die je door een simpele Force Quit sluit en daarna opstart met de option toets ingedrukt om ervoor de zorgen dat dezelfde webpagina niet geladen wordt.
Deze ontwikkelaar beweert een webpagina te hebben ontwikkelt waarvan de scripting wel vat heeft op OSX en als die broncode algemeen bekend wordt zijn de rapen gaar na 15 jaar veilig OSX, héél erg gaar!
06-11-2015, 13:44 door [Account Verwijderd] - Bijgewerkt: 06-11-2015, 13:45
[Verwijderd]
06-11-2015, 14:02 door Anoniem
Onderzoeker onthult eerste ransomware voor Mac

Nee hoor

Info is al meerdere keren naar buiten gebracht en ook op dit forum gemeld :

juni 2014

Unfinished ransomware for MacOS X
https://securelist.com/blog/research/66760/unfinished-ransomware-for-macos-x/

September 2014

https://eugene.kaspersky.com/2014/09/29/the-evolution-of-os-x-malware/
Trojan-Ransom.OSX.FileCoder– the first file encryptor for OS X. Only just working – a buggy prototype.

De aanpak van deze 'onderzoeker' tekent het probleem waar Mac OS X meer last van begint te krijgen.
Last van het voorwerk dat onderzoekers, die publiciteit willen hebben voor zichzelf, verrichten voor criminelen die vanaf daar geholpen de draad oppikken.
Recent ook daadwerkelijk gebeurd rondom een openbaar aangetoonde kwetsbaarheid en opgepikt door agressieve adware makers.

Je zou zeggen dat de taak van een onderzoeker is om kwetsbaarheden aan te tonen, er is echter vast wel te discussieren over de morele grenzen die worden opgezocht uit eigenbelang voor bijvoorbeeld publiciteit.
Het lijkt er namelijk meer en meer op dat onderzoekers het voortouw nemen in het vinden van mogelijkheden waar criminelen misschien wel helemaal niet aan hadden gedacht of tot waren gekomen om dat ze die intelligente moeite nou eenmaal niet nemen.

Een discussie en overwegingen de je met gemak kan proberen van tafel te vegen met reeds aangegeven argument maar waarvan als je ook maar een beetje werkelijk moreel besef in je donder hebt wel in vanuit een meer oprechte instelling kan aanvoelen dat de overwegingen van het maken van dit soort proof of concepts bepaald niet helemaal zuiver op de graad zijn.
06-11-2015, 14:49 door Briolet
Volgens mij missen er essentiële punten bij de aanval in zijn demo. Het lijkt nu gewoon een programma dat bij het starten de files versleuteld. Dat is geen kunst. Hij laat niet zien hoe hij de firewall misleidt om het programma te kunnen starten, zodat ik de indruk heb dat hij dit programma vooraf rechten gegeven heeft in de firewall om zijn werk te mogen doen.

Verder gebruikt een groot deel van de mac gebruikers Time Machine. Veel doen dat echter via een externe HD. Die drive is constant gemount zodat cryptoware die data ook kan versleutelen.

Zelf backup ik via servers op mijn lan. Deze zijn standaard unmounted en worden slechts 1x per uur gemount door Time Machine. Dit gaat volgens mij via een mountpoint die in root ligt zodat de user de gemounte share niet kan zien. (In elk geval kan ik hem als gebruiker niet zichtbaar krijgen tijdens een backup). Hier zou cryptoware in zijn algemeenheid niet bij mogen kunnen komen zonder root acces.
06-11-2015, 14:53 door Anoniem
?
• Bij wie werkt dit POC met welke browser? ?Even zag ik een verhoogd cpu gebruik van de finder maar zonder herleidbaar crypto resultaat.
• Ik kan ook geen bijzonderheden op die site vinden, speciale javascripts die je moet toestaan bijvoorbeeld.
• Hoe lang duurde het locken dan?
• Wat gebeurt er als je tussentijds afbreekt?
• Welke extensie levert een encrypted file dan op?
• Is alles in je home/user directory dan op slot en heb je een andere computer nodig om de unlock code van die website te halen? ??Dat zou niet zo mooi zijn, deze vaste unlock codes kwam ik tegen?
10447
26847
35519
40431
?
Wie heeft ook de moeite genomen deze site te bezoeken en te bekijken?
Dat is misschien een iets relevantere discussie dan over de tijdlengte van het terugzetten van Timemachine backups die overigens nogal eens vrij permanent aan Mac stations zijn gekoppeld en daarmee ook encrypted zouden kunnen geweest gaan worden zijn.
06-11-2015, 15:05 door Anoniem
Door Anoniem:
Je zou zeggen dat de taak van een onderzoeker is om kwetsbaarheden aan te tonen, er is echter vast wel te discussieren over de morele grenzen die worden opgezocht uit eigenbelang voor bijvoorbeeld publiciteit.
Het lijkt er namelijk meer en meer op dat onderzoekers het voortouw nemen in het vinden van mogelijkheden waar criminelen misschien wel helemaal niet aan hadden gedacht of tot waren gekomen om dat ze die intelligente moeite nou eenmaal niet nemen.

Een discussie en overwegingen de je met gemak kan proberen van tafel te vegen met reeds aangegeven argument maar waarvan als je ook maar een beetje werkelijk moreel besef in je donder hebt wel in vanuit een meer oprechte instelling kan aanvoelen dat de overwegingen van het maken van dit soort proof of concepts bepaald niet helemaal zuiver op de graad zijn.

Deze onerzoekers zouden in ieder geval hun vondsten moeten delen met Apple en ze een redelijke tijd moeten gunnen, om het gat te dichten. Vinden van kwetsbaarheden wordt op die manier een goed ding, maar meteen gaan roepen: "het kan fout, want het is mij ook gelukt, kijk maar", kan kwaadwillenden wakker schudden.
06-11-2015, 16:14 door Anoniem
Door Anoniem:
• Bij wie werkt dit POC

aanvulling, inmiddels de hele youtube video gezien, zag in eerste instantie maar een te kort videootje (t/m openen promo document klapper) wegens het over het hoofd zien en dus niet toestaan van alle googlevideo javascripts met een korte video als gevolg.

Het programma is, lees ik elders, geschreven in c++ (waar ik ook verder geen verstand van heb) maar waar verstopt deze code zich dan en hoe laat het bestanden encrypten?
Ik zie dat voor het decrypten het Terminal programma benodigd is.

Heeft iemand kunnen ontdekken, bij wie de POC wel werkt, of toevallig het programma Terminal.app wordt aangeroepen voor het encrypten van de lokale files?
Ik heb zomaar sterk het vermoeden dat het geval is, ziet iemand deze even in het dock verschijnen?

En waar ergens zit de code dan verstopt?

- In de pagina code?
Ik zie niet echt referers naar andere domeinen behalve die van de website template aanbieder.
- In een van de diverse css-en?
http://creativecode.com.br/mabouia/css/animate.min.css
http://creativecode.com.br/mabouia/css/bootstrap.min.css
http://creativecode.com.br/mabouia/css/font-awesome.min.css
http://creativecode.com.br/mabouia/css/templatemo-style.css
- Of in een van de afbeeldingen?
http://creativecode.com.br/mabouia/images/shutup.jpg
http://creativecode.com.br/mabouia/images/software-img.png
De png van de lock zou ik als eerste usual suspect pakken maar ik zie in die code niet iets waar ik (als dummy) iets uit kan afleiden.

Waar ik dus erg benieuwd naar ben is waar de code zich heeft verstopt en vooral welk proces extra dan wordt aangeroepen voor het encrypten van de files.
Aangenomen dat de browser.app dat niet alleen kan bewerkstelligen.
06-11-2015, 16:24 door Anoniem
Heel knap dat je zoiets kunt maken op je eigen lokale computer.
Nu nog zorgen voor de mogelijkheid om andere externe computers te besmetten met deze malware.
Dat zal een stuk lastiger blijken...
06-11-2015, 16:28 door Anoniem
Tja lekker dan

There's also this fake Web page, where Mabouia's fictitious users can go and pay the ransom.
http://news.softpedia.com/news/quick-q-a-with-author-of-mabouia-first-mac-os-x-ransomware-495795.shtml

Werkt die demo nou wel of werkt hij niet?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.