macOS平台上首現RaaS（勒索軟體即服務）模式的惡意軟體

安全公司Fortinet的惡意軟體分析師發現了一款名叫MacRansom的惡意軟體，而它很可能是目前macOS平台上的首款以提供RaaS服務為模式的勒索軟體。這也就意味著，任何人都將能夠使用MacRansom來發動惡意攻擊。

研究人員在

分析報告

中提到：「近期，我們FortiGuard Labs在TOR網路中發現了一款隱藏的RaaS（勒索軟體即服務）服務，而且這項服務的人氣非常的高。在此之前，幾乎絕大多數的網路犯罪分子都會選擇攻擊Windows操作系統，但隨著蘋果電腦的普及程度越來越高，犯罪分子們已經逐漸將他們的注意力轉移到了macOS身上，而這也是我們第一次看到針對macOS平台的RaaS。」

雖然MacRansom不像其他類似的網路威脅那樣的複雜，但由於它可以加密目標用戶的重要文件，因此它仍然可以給用戶帶來非常嚴重的問題和影響。更加重要的是，MacRansom是以RaaS的模式出現的，這也使得那些不具備專業黑客技術的騙子依然能夠輕鬆地進行勒索軟體活動。

分析人員表示，MacRansom變種目前還無法通過Tor網站來獲取，因此有犯罪意向的騙子們必須直接聯繫MacRansom的作者以獲取勒索軟體服務。一開始，我們還認為這是犯罪分子設下的一個騙局，因為我們之前還沒有獲取到MacRansom的樣本。為了驗證MacRansom的真實性，我們專門給它的開發者發送了一封聯繫郵件，但出人意料的是我們真的收到了他的回復。

MacRansom採用的是對稱加密，並使用了硬編碼密鑰，而且這款勒索軟體最多只能加密128份文件，解密密鑰的售價（贖金）為0.25個比特幣，大約價值700美元。

研究人員在對勒索軟體進行了分析之後，發現了它所使用的兩組對稱密鑰：

ReadmeKey

: 0x3127DE5F0F9BA796

TargetFileKey

:

0x39A622DDB50B49E9

ReadmeKey用來解密._README_文件，其中包含勒索信息以及相關指令，而TargetFileKey可以對目標用戶的文件進行加密解密操作。

MacRansom的惡意代碼還會進行反分析活動，該勒索軟體在開始感染之前首先會檢查當前的運行環境是否為非macOS環境或調試環境。

當目標用戶支付了贖金之後，MacRansom的作者還會返還30%的比特幣到目標用戶的比特幣錢包。但前提是目標用戶必須要繼續傳播MacRansom，用戶可以通過垃圾郵件或Drive-By Download攻擊等形式進行傳播，不過開發者並不鼓勵用戶通過Drive-By Download攻擊或其他手段傳播定製版本的MacRansom。

Fortinet表示，在此之前像這種專門針對macOS平台的新型勒索軟體其實是很少見的，雖然這種勒索軟體的殺傷力並沒有那些針對Windows平台的惡意軟體殺傷力大，但它們仍然可以加密目標用戶的文件，因此它們同樣會給用戶造成很大的麻煩。

值得注意的是，這個MacRansom變種很可能是一個山寨版的勒索軟體，因為其中的大部分代碼都是從之前曾出現過的OS X勒索軟體中抄襲過來的，雖然它採用了一些反分析技術，而且這些技術與之前的OS X勒索軟體有很大區別，但這些技術早就已經是惡意軟體領域中得到廣泛採用的技術了。話雖如此，但我們誰也不能保證將來不會出現一款針對macOS平台的創新型惡意軟體。再加上macOS在全球的市場佔比正在逐步提升，各大廠商是不是應該更加關注macOS平台的安全問題呢？

* 參考來源：securityaffairs， FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！