Ransomware: también los hay para Apple
Tradicionalmente los equipos de Apple son considerados más seguros, menos propensos a virus y malware en general. De hecho, las últimas versiones del sistema operativo se configuran de serie para aceptar sólo aplicaciones de la tienda de Apple o de desarrolladores certificados, lo que habitualmente es una buena medida para evitar aplicaciones infectadas. Por supuesto, los usuarios de Macintosh están igual de expuestos a amenazas habituales como el phising o el correo basura, así como los habituales engaños que circulan por Internet como las suscripciones a SMS premium, etc. Sin embargo, esta semana, por primera vez se ha detectado una amenaza de ransomware (software malicioso que encripta el contenido del disco duro y exige un pago para devolver su contenido) que ahora tambien afecta a los usuarios Macintosh.
El malware se ha extendido en una popular aplicación para la descarga de archivos Torrent, Transmission 2.90, y según explican diversos medios cercanos al mundo Mac, esta versión incluye un programa malicioso que encripta el contenido del disco y exige un rescate para devolverlo. Este tipo de ataques es habitual en el mundo Windows, pero es la primera vez que se detecta en plataforma Macintosh. Al parecer, Apple ya ha revocado el certificado digital legítimo que usaba el ransomware KeRanger y que hacía que el software se pudiese instalar sin que el sistema emita una alarma.
El desarrollador de Transmission ya ha anunciado que ha lanzado una actualización 2.9.2 que elimina de manera activa el ransomware. Al parecer, este malware espera tres días antes de cifrar el contenido del disco, por lo que se cree que hoy se empezarán a ver los primeros informes de equipos afectados.
Según el desarrollador de la aplicación afectada, los que crean que puedan estar afectados pueden examinar el visor de procesos del sistema para comprobar si hay uno etiquetado como “/Users//Library/kernel_service”. Este proceso pertenece a la aplicación maliciosa KeRanger, y si se encuentra, se recomienda forzar su salida. Si deseas conocer más detalles técnicos de este ransomware, puedes encontrarlos en el blog de Palo Alto Networks.