O ransomware é uma das mais recentes pragas de malware e nem os computadores Mac conseguiram ficar a salvo.
Investigadores da Palo Alto Networks detetaram este fim-de-semana a primeira infeção ransomware para OS X, o sistema operativo dos computadores Macintosh da Apple.
De acordo com a publicação dos investigadores Claud Xiao e Jin Chen, o ransomware foi descoberto no instalador do Transmission e é o primeiro deste tipo para OS X que está totalmente operacional.
A Kaspersky Lab detetou um código malicioso com o mesmo propósito em 2014, o FileCoder, mas não estava completo quando foi intercetado.
“Acreditamos que o KeRanger é o primeiro ransomware totalmente funcional visto na plataforma OS X”, escrevem os especialistas.
Os atacantes infetaram dois instaladores da versão 2.90 do Transmission na manhã de 4 de março. Quando os investigadores identificaram o problema, os ficheiros DMG ainda estava disponíveis para descarga no site do cliente BitTorrent.
Se um utilizador instalar as aplicações infetadas, um ficheiro executável corre no sistema; o KeRanger espera depois três dias antes de se ligar a servidores comando e controlo na rede Tor e começa a encriptar documentos e ficheiros no sistema.
Depois de completar este processo, pede à vítima o pagamento de uma bitcoin, que vale neste momento cerca de 400 dólares, cerca de 363 euros, em troca de um endereço que lhes permitirá recuperar os ficheiros.
A Palo Alto Networks refere ainda que o malware tenta escriptar os ficheiros de backup da Time Machine, para que as vítimas não consigam evitar pagar o resgate.
“O Transmission é um projeto open source. É possível que o site oficial tenha sido comprometido e que os ficheiros tenham sido substituídos por versões maliciosas, mas não conseguimos confirmar a forma como esta infeção ocorreu”, indicam.
Adicionalmente, a aplicação KeRanger estava assinada com um certificado de desenvolvimento para Mac válido, o que significa que “conseguiu iludir a proteção Gatekeeper da Apple”.