E安全6月14日報道，根據微軟官方提供的數據，2017年5月Windows
10系統的日活躍用戶超過3億，平均每人每天的用量為3.5個小時。我們也知道目前絕大多數惡意軟體包括勒索軟體都只針對Windows系統，對於絕大多數攻擊者而言製作Mac或者是Linux惡意軟體由於目標和受眾面太小可能並不會獲得太多的收益。

但安全企業Fortinet公司的惡意軟體研究人員們發現有勒索軟體製作者開始將目標轉向Mac設備發動攻勢，這款惡意軟體名為MacRansom，這也是有史以來第一種以RaaS服務形式存在的Mac勒索軟體。

本文系E安全獨家編譯報道

任何人都可以使用MacRansom進行攻擊

該惡意軟體通過TOR網路當中的一項隱藏服務以勒索軟體即服務（簡稱RaaS）的形式實現作用。儘管這一威脅並不像其它類似威脅那樣複雜，但由於會對受害者的文件進行加密，因此同樣可能造成嚴重的後續影響。MacRansom作為RaaS，也就是說這款勒索軟體的開發團隊只負責在幕後開發軟體不參與勒索，下游攻擊者可以購買這款勒索軟體進行傳播。

Fortinet公司在發布的分析報告當中指出：

「我們剛剛在FortiGuard實驗室當中發現了一種勒索軟體即服務（簡稱RaaS），其利用託管於TOR網路當中的一套門戶網站。儘管這種作法目前已經成為新的趨勢，但在本案例中，我們意外地發現網路犯罪分子開始以類似的手法針對Windows之外的操作系統發起攻擊——這確實值得加以關注。事實上，這很可能是歷史上第一例RaaS形式的Mac
OS惡意軟體。」

雖然看起來MacRansom並沒有比Windows的勒索軟體厲害多少，
但這款勒索軟體聲稱還能監視用戶鍵盤記錄。這意味著這款勒索軟體已經不是簡單的勒索功能了，
而是類似完整的木馬病毒可以窺竊用戶電腦里的內容了。當然最麻煩的還是這種勒索軟體即服務的策略，
這可以讓完全不懂開發的下游攻擊者直接購買軟體進行散播。

目前尚無法直接通過Tor門戶獲得MacRansom的變種版本，有興趣的惡意人士需要聯繫該勒索軟體的作者以獲取更多其它針對性版本。

這份分析報告進一步補充稱：

「MacRansom的變種尚無法通過該門戶獲取。必須聯繫該勒索軟體的開發者以溝通其它版本獲取事宜。我們起初認為這可能是個騙局，因為開發者並沒有提供任何演示; 但在隨後的驗證當中，我們向該開發者發出了聯繫郵件並意外收到了回復。」

MacRansom如何進行勒索？

這款勒索軟體的開發者在暗網上發布廣告稱這款軟體是最複雜的針對Mac平台的勒索軟體。購買者在支付費用後可以要求開發團隊設置軟體的觸發時間並可以選擇是否延遲加密即可以不立即加密文件。

MacRansom利用硬編碼密鑰實現對稱加密，而且該勒索軟體最多只能加密128個文件; 在解密密鑰方面，作者要求受害方支付0.25比特幣（約700美元）。

研究人員發現了兩組由該勒索軟體使用的對稱密鑰：

ReadmeKey: 0x3127DE5F0F9BA796

TargetFileKey: 0x39A622DDB50B49E9

其中的ReadmeKey用於加密包含有勒索詞與指令的._README_file，而TargetFileKey則用於加密及解密受害者的文件。

比較有意思的是，這款勒索軟體除會加密外還會把原始的文件給加密並修改時間用來防止被恢復工具恢復出來。

通過對惡意代碼的執行進行逆向分析，我們發現該勒索軟體首先會檢查自身是否處於非Mac環境或者調試環境當中。

一旦受害者支付贖金，該作者會將30%的金額發送回客戶的比特幣地址。

而客戶方面則需要傳播該威脅，例如通過電子郵件發布下載驅動型攻擊。

開發者並不鼓勵採取下載驅動型攻擊或者其它需要上傳MacRansom定製化版本的傳播方法。

Fortinet公司總結稱：

「我們很少看到新型且專門針對Mac OS平台的勒索軟體。儘管其實際水平遠遠低於目前Windows系統所面臨的大多數勒索軟體，但仍然有能力加密受害者的文件或者阻止用戶對重要文件的訪問，因此完全可以造成實質性損害。」

「最後但同樣重要的是，這款MacRansom的變種很可能是由模仿者加工並利用。因為我們從其中發現了很多提取自過往Mac
OSX勒索軟體的類似代碼與設計思路。儘管其與之前的Mac
OSX勒索軟體採用不同的反分析技術，但這些技術早已被眾多惡意軟體作者廣泛部署在自己的攻擊工具當中。MacRansom無疑是勒索軟體威脅大規模盛行的又一大實例，意味著任何一種操作系統平台都有可能遭受此類危害。」

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！