Si chiama KeRanger ed è il primo ransomware che ha colpito OS X, il sistema operativo sviluppato da Apple e presente sui computer Mac. Il malware è stato inserito all’interno della versione 2.90 di Transmission, uno dei più noti ed utilizzati client BitTorrent. Scopriamo più in dettaglio, quindi, quali sono gli utenti che sono stati colpiti da KeRanger e come eliminare questo pericoloso malware.
Ultimamente, su Windows, i ransomware si sono diffusi a macchia d’olio. Questa tipologia di malware permette ai cybercriminali di chiedere un riscatto, dopo aver bloccato l’accesso ai file utilizzando la crittografia. Tuttavia, questa potenziale minaccia che sembrava presente solamente su Windows, adesso si è espansa anche verso il mondo Mac.
Non a caso, gli esperti di Palo Alto Networks hanno scoperto il primo ransomware per Mac OS X e denominato KeRanger. La minaccia in questione si trovava all’interno dell’installer di Transmission, un famoso e apprezzato client BitTorrent. A sorprendere, questa volta, è stato il fatto che l’installer pericoloso di Transmission era pubblicato sul sito ufficiale.
Secondo sempre Palo Alto Networks, i cybercriminali hanno infettato due installer di Transmission 2.90 e, con molta probabilità, anche il sito web del Transmission Project è stato compromesso. Di fatto, le versioni originali sono state rimosse dal sito e inserite quelle contenenti KeRanger. Non solo, il malware è stato firmato anche con un certificato valido, fattore che rende impossibile alla protezione Gatekeeper di Apple accorgersi dell’evidente minaccia.
Ma qual è il funzionamento della versione modificata di Transmission con il ransomware KeRanger? I cybercriminali hanno deciso di impostare tre giorni di attesa prima che il malware stabilisse una connessione ai server C&C (command-and-control) sulla rete Tor. Trascorso questo lasso di tempo, KeRanger iniziava a cifrare documenti, immagini, database, archivi, audio, email e moltissime altre tipologie di dati sfruttando chiavi AES e RSA.
Per risolvere questa problematica Apple ha revocato, immediatamente, il certificato fasullo e aggiornato l’antivirus XProtect. Invece, Transmission Project ha aggiornato la propria app e pubblicato la versione 2.92 sul proprio sito web.
Ricordiamo, infine, che gli utenti interessati da questo ransomware sono solamente coloro che hanno scaricato Transmission tra le 11:00 PST del 4 marzo e le 7:00 PST del 5 marzo.
