Dolt bakom helt giltiga certifikat har Mac-användare lurats att att ladda ner skadliga versioner av populära bittorrentapplikationen Transmission. Väl installerad krypteras datorns innehåll och användaren krävs på en bitcoin, omkring 3 500 kronor, för att angriparen ska låsa upp filerna. Vad som ser ut att vara den första utpressningstrojanen, mer känt som ransomware, för Mac har hittats.
4 mars upptäckte säkerhetsföretaget Palo Alto Networks att Transmission utsatts för en attack. Originalfilerna för installationen av programmet hade ersatts med två infekterade versioner av Transmission 2.90. Apple har återkallat certifikatet och användare uppmanas att omedelbart uppgradera till version 2.92.
Attacken är den första fullständiga ransomwareattacken riktad särskilt mot Apple-produkter. Bara ett fall är känt sedan tidigare och upptäcktes 2014. Men den skadliga koden som då spreds, Filecoder, var inte komplett. Det som nu hittats, och som fått namnet Keranger, är dock helt fungerade.
Hur angriparna gick till väga för att ladda upp de infekterade versioner är oklart. Det kan vara så att hela sajten hackats och att den rätta versionen ersatts med den skadliga. Men experterna har inte svaret. Det är inte ovanligt att sådana metoder används, inte heller att giltiga certifikat utnyttjas för att sprida skadlig kod.
Läs också: Ingen går säker – nu kommer ransomware till Mac och Linux
Ransomware som döljs i giltiga certifikat fångas inte upp i Apples säkerhetsnät. Vilket gör att om användarens inställningar tillåter det, kan uppdateringar från godkända Apple-utvecklare installeras utan att hen ser eventuella varningar.
Om utpressningstrojanen installeras bidar den sin tid i tre dagar innan den kopplar upp mot en kontrollserver i Tor-nätverket. Därefter krypterar den vissa filer och dokument och kräver pengar för att ge användaren krypteringsnyckeln.
Det finns inte mycket man kan göra för att skydda sig mot ransomware. Antivirusprogram missar dem ofta eftersom hackarna ändrar i koden föra att lura säkerhetsmjukvara. Det bästa skyddet är att regelbundet göra backuper och ser till att systemet är separat från din dator.
Problemet med Kerange är att det verkar som att det försöker kryptera filerna på Apples backup-drive Time Machine, skriver säkerhetsexperterna på Palo alto på sin blogg.
Ransomware har blivit vanligare de senaste åren och lösensummorna har vuxit. Vanliga konsumenter drabbas men attacker mot organisationer och företag har, utifrån hackarnas perspektiv, visat sig vara mer effektiva. Nyligen betalde ett sjukhus i Los Angeles 17 000 dollar för att låsa upp sina system.
Läs också: Antivirus mot ättestupan? Nu dömer Dell ut traditionella virusskydd.
Hittills har också Windows-datorer varit mer frekventa måltavlor, eftersom deras marknadsandelar är betydligt högre. Men intresset har växt och forskare har skapat proof-of-concept för att det även går att ta fram för Mac och visat hur de enkelt kan ta fram skadlig kod riktat mot just Apples plattformar.
Apple har återkallat certifikatet och uppdaterat sitt säkerhetsprogram Xprotect. Hos Transmission har man publicerat varningar och uppmaningar till användare att uppdatera till senaste, och trojanfria, versionen. På Palo Alto Networks blogg beskriver företaget hur användare kan se om de sitter på infekterade versioner.
