BitTorrent 用戶端軟體暗藏第一個針對 Mac系統的勒索軟體:KeRanger
熱門的跨平台開放原始碼 BitTorrent 用戶端軟體 Transmission 在官網 (Transmissionbt.com) 上發出緊急通知,呼籲使用者立刻升級至 2.91 版本,並且將 2.90 版刪除。因為,研究人員發現該軟體的安裝程式感染了全世界第一個專門針對 Mac OS X 系統的「KeRanger」勒索軟體 Ransomware 。
這波攻擊一開始的徵兆出現在 3 月 5 日晚上,網路論壇上有人指出 Transmission 2.90 版的安裝程式含有惡意程式,而且其下載連結是 Transmission 的 HTTP 網站而非 HTTPS 網站。從下載連結的改變可以推測Transmission 官網很可能是遭到駭客入侵,並且將原本的安裝程式偷偷換成駭客重新組譯之後的惡意版本。凡是在太平洋標準時間 3 月 4 日上午 11:00 至 3 月 5 日下午 7:00 之間從 Transmission 官網下載 2.90 版安裝程式的使用者,很可能已安裝了 KeRanger 勒索軟體 (趨勢科技命名為:RANSOM_KeRanger.A)。
駭客利用了一個有效的 Mac 應用程式開發憑證來躲過 Apple 的 Gatekeeper 安全機制。Gatekeeper 安全機制會利用 Apple 簽發的 Developer ID (開發人員識別碼) 來驗證應用程式來源,開發人員必須用此 ID 來簽署其應用程式才能通過驗證。Apple 便是靠著這項功能來阻擋那些可能遭到篡改的應用程式,或是那些來自不明開發人員的應用程式。任何從網路下載的應用程式若未經 Developer ID 簽署,將無法安裝到系統上。駭客這次用來避開 Apple 安全機制的手法,相信未來很可能還會出現。
暗藏在木馬化應用程式,非利用惡意連結
此惡意程式除了是 OS X 平台第一個勒索軟體 Ransomware之外,其散播方式也值得注意。KeRanger 採用的是暗藏在木馬化應用程式當中,這對加密勒索軟體 Ransomware來說並不常見,因為它們通常是利用惡意連結來感染目標系統。
不過,一旦進入受害者系統之後,其運作方式就和一般加密勒索軟體 Ransomware無異。根據研究顯示,KeRanger 在感染系統之後會先潛伏三天之後才會透過 Tor 網路連線到幕後操縱 (C&C) 伺服器,接著才將受害者電腦上的某些文件和檔案類型加密。完成之後,KeRanger 會顯示勒索訊息,並要求 1 個比特幣 (Bitcoin) 的贖金 (目前市值約 405 美元) 來解開被加密的檔案。
[延伸閱讀:勒索軟體如何運作 | 為何加密勒索軟體這麼有效]
根據三天的潛伏期來推算,這批 3 月 4 日至 5 日之間散布的受感染版本第一批受害案例將在 3 月 7 日或 8 日出現。
Transmissionbt.com 官網在 3 月 6 日又更新了緊急通知,建議所有使用者更新到 Transmission 2.92 版。雖然 2.91 版本已經正常,但它卻不會將系統上的惡意檔案清除。現在 2.92 版已可將系統上感染的檔案清除。
原文出處:KeRanger: First Ransomware to Target Mac Users Found in BitTorrent Client
加密勒索軟體 Ransomware (勒索病毒/綁架病毒)最大宗的攻擊方式是透過網路釣魚信件,只要開啟陌生人寄來的信件即可能中標!
趨勢科技PC-cillin雲端版防毒軟體,先進的網路釣魚(Phishing)防範技術能協助您避免掉入詐騙陷阱。
[立即下載PC-cillin雲端版 for Mac防毒軟體] [下載PC-cillin雲端版 for Windows 防毒軟體]
★針對企業用戶,趨勢科技端點解決方案亦可以偵測勒索軟體