Ambos portales fueron puestos en marcha el pasado 25 de mayo y descubiertos por el editor de BleepingComputer, Catalin Cimpanu, mientras realizaba un escaneo rutinario en la Dark Web. El primer portal se llama MacSpy y lo que hace es vender spyware para Mac, mientras que el segundo, de nombre MacRansom, alquila ransomware para infectar ordenadores de la marca perteneciente a Apple.

Si nos fijamos en el diseño de cada uno de los sitios web, queda en evidencia que ambos fueron construidos por la misma persona, ya que son idénticos en su aspecto. El funcionamiento también es muy similar, teniendo los criminales que contactar con el autor del malware para recibir demostraciones y negociar las tarifas.

MacSpy  MacRansom 

¿Cómo están hechos MacSpy y MacRansom?

AlienVault y Fortinet han publicado una investigación desglosando ambos malware llegando a la misma conclusión, que tanto MacSpy como MacRanson son creaciones de un programador sin experiencia. Estos han sido sus descubrimientos:

MacRansom:

  • El autor de MacRansom necesita la aprobación de cada cliente, negociar las tarifas y construir manualmente cada muestra del malware, echando por tierra el propósito del Ransomware como Servicio (RaaS) en primer lugar.
  • El ransomware utiliza cifrado simétrico, con las claves de cifrado incluidas en el código fuente del ransomware.
  • Una de las claves de cifrado es permutada con un número aleatorio y obtenida desde la memoria después terminar el cifrado. Esto significa que el ransomware pierde una de las dos claves de cifrado.
  • El ransomware no se comunica con un servidor de mando y control, esto significa que el autor del ransomware no puede descifrar los ficheros cifrados.
  • El ransomware no utiliza el panel de pago basado en Tor, sino que pide a los usuarios estar en contacto con el arrendador a través de email.
  • El fichero del ransomware no está firmado digitalmente, esto significa que puede disparar alertas de seguridad cuando es ejecutado sobre una instalación estándar de macOS.

MacSpy:

  • El autor de MacSpy parece haber copiado y pegado código de Stack Overflow.
  • La carga del spyware no está firmado digitalmente, lo que puede disparar alertas de seguridad cuando es ejecutado sobre una instalación estándar de macOS.

La situación es paradójica porque MacSpy parece estar mejor programado, pero el más peligroso es MacRansom al ser sus efectos devastadores y casi imposibles de revertir (de momento no hay forma de descifrarlo).

 

Más información: Fortinet | AlienVault

Fuente: BleepingComputer | muyseguridad