Un nuovo ransomware scoperto il 4 Marzo 2016 sta infettando i sistemi Apple OS X, è il KeRanger.

Il primo accenno del problema si è avuto nel week end. Gli utenti di Transmission – un client BitTorrent comunemente usato su OS X – potrebbe aver mostrato il seguente allarme:

Figura 1.L’avviso mostrato all’avvio di Transmission per OS X

Secondo l’allarme, mostrato sia dall’applicazione che sul sito di Transmission, la versione 2.90 dell’applicazione stessa era infetta. A tutti gli utenti è stato raccomandato di aggiornare immediatamente alla 2.91, in quanto sarebbero potuti diventare vittime di un nuovo ransomware in grado di codificare i file sui sistemi OS X – il cosiddetto KeRanger.

L’analisi di questo malware è stata pubblicata per la prima volta da Palo Alto Networks. Anche il ricercatore di ESET Anton Cherepanov l’ha segnalata e ne ha completato l’analisi. Di seguito riportiamo quanto è necessario conoscere di questa minaccia, estrapolandone i contenuti dalla sua analisi tecnica.

1. KeRanger è solamente un prototipo o un malware pienamente funzionante e già diffuso?

Sfortunatamente parliamo del secondo scenario.

2. Come si diffonde KeRanger?

Si diffonde attraverso una versione infettata di un’altra applicazione Bit Torrent open source legittima – Transmission. La versione pericolosa (2.90) è rimasta disponibile per il download tra il 4 e il 5 marzo del 2016 ed era firmata con un certificato legittimo dallo sviluppatore.

3. Si sta ancora diffondendo?

Dal 5 Marzo la versione pericolosa è stata rimossa dal sito web di Transmission. Inoltre, Apple ne ha revocato il certificato per impedire agli utenti di aprirne il programma di installazione infetto, persino se questo venisse scaricato da siti terze parti.

4. Non si è sentito di alcun tentativo di chiedere un riscatto. Significa che il nostro Mac non è stato infettato dal KeRanger?

Non necessariamente. La versione di KeRanger che abbiamo analizzato ha la capacità di rimanere nascosta per tre giorni dopo l’infezione iniziale. Per verificare che il KeRanger non sia presente nel Mac occorre seguire quanto riportato:

• Se sul sistema sono presenti i seguenti file, eliminarli e disinstallare l’app Transmission:

  • /Applications/Transmission.app/Contents/Resources/ General.rtf

  • /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf

  • %HOME_DIR%/Library/kernel_service/kernel_service

  • %HOME_DIR%/Library/kernel_service/.kernel_pid

  • %HOME_DIR%/Library/kernel_service/.kernel_time

5. C’è qualche modo per decriptare i file?

Sfortunatamente no. Il malware usa degli algoritmi crittografici (RSA-2048 e AES-256) che sono praticamente inviolabili.

6. Come si possono proteggere i dati?

Occorre utilizzare una soluzione di sicurezza efficace. Gli utenti di ESET erano già protetti – il nostro software rileva KeRanger come OSX/Filecoder.KeRanger.A. Raccomandiamo vivamente agli utenti di effettuare periodicamente il backup dei propri dati importanti.

Analisi Tecnica

È importante notare che il codice binario della versione pericolosa di Transmission presentava una firma digitale valida e analizzandone le proprietà risultava firmato il 4 Marzo 2016.

Figura 2. La firma digitale dell’applicazione Trasmission pericolosa.

La firma appartiene alla POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI, mentre l’applicazione legittima è firmata con un certificato di Digital Ignition LLC.

Quando viene eseguita, l’applicazione Trasmission pericolosa verifica se è in esecuzione il modulo malevolo kernel_service exists. Se così non fosse, l’app copia un eseguibile che rinomina come il file General.rtf nel percorso %HOME_DIR%/Library/kernel_service e lo esegue.

Figura 3. Il codice decompilato dell’applicazione Trasmission pericolosa.

Il kernel_service è un tipico ransomware, che codifica i file dell’utente usando gli algoritmi AES e RSA, praticamente inviolabili, e chiede un riscatto.

Una volta eseguito, rimane nascosto per tre giorni prima di attivare le proprie funzioni crittografiche. Il timer per il conteggio di questi giorni viene salvato nel file .kernel_time.

Al giorno stabilito si connette a uno dei 6 siti ospitati nella rete TOR per scaricare un messaggio di riscatto e una chiave RSA pubblica. La connessione alla rete TOR avviene attraverso i gate pubblici di TOR2WEB.

Figura 4. L’immagine di una richiesta da OSX/Filecoder.KeRanger.A al server C&C

Il Trojan OSX/Filecoder.KeRanger.A conteggia tutti i file presenti nelle cartelle /Users e /Volumes folders quindi tenta di codificarli. Per la codifica usa un sistema crittografico estremamente potente – il malware sceglie a caso una chiave a 256-bit per l’algoritmo AES, cripta il file, poi cripta la chiave AES attraverso l’algoritmo RSA e salva il blob codificato nel file. Quindi differenti file avranno differenti chiavi di codifica

Figura 5. Le estensioni dei file codificati dal KeRanger

Il ransomware potrebbe criptare più di 300 estensioni di file, inclusi documenti, foto, video, archivi, ecc… Quando un file viene codificato la sua estensioni cambia in .encrypted.

Il malware crea un file di testo, con una richiesta di riscatto, in tutte le cartelle con file codificati. Da notare che le parole del messaggio vengono scaricate dal server di comando e controllo. Ciò significa che possono essere modificate dai criminali in qualsiasi momento, consentendogli tra le altre cose di modificare l’ammontare del riscatto.

Il messaggio non viene mostrato alla vittima prima della codifica.

Figura 6. Il testo della richiesta di riscatto creato dall’OSX/Filecoder.KeRanger.A Trojan

Indicatori di possibile infezione (IoC)

SHA-1:

5F8AE46AE82E346000F366C3EABDAFBEC76E99E9

FD1F246EE9EFFAFBA0811FD692E2E76947E82687

Server C&C:

lclebb6kvohlkcml.onion[.]link

lclebb6kvohlkcml.onion[.]nu

bmacyzmea723xyaz.onion[.]link

bmacyzmea723xyaz.onion[.]nu

nejdtkok7oz5kjoc.onion[.]link

nejdtkok7oz5kjoc.onion[.]nu