gisselvareselvskadere
Det er ikke noe moro om hackere klarer å låse filene dine, desto mer moro er det når de låser seg selv ute.

Annonse


Ny gisselvare er avslørt, men utviklerne har vært så dumme at du vil le av det

Trond Bie·

Little Snitch er en brannmur til macOS (ironisk nok), som følger med på apper og gir brukerene kontroll over tilgangen.

Når man prøver å stjele 500 kroner, men glemmer å gi offeret muligheten til å bli ranet

Det vil si, ikke om man piratkopierer programmet, for da kan plutselig man miste all kontroll og ikke minst alle filene sine til hackere.

Jepp, dette er en ny gisselvare som nå sprer seg i piratvare, låser filene og krever at man innen tre dager sender 50 dollar.

Heldigvis er det ikke tusenlapper det er snakk om, men kan man stole på at filene blir låst opp? Selvsagt ikke, men disse Black Hat-utviklerne kan ikke engang stole på seg selv. Mer om dette senere.

Annonse


Gjemmer seg selv, det er jo vanlig

Gisselvaren etter at den har infisert maskinen, kjører en kommando for å skjule “patch“, som inneholder gisselvaren.

Navnet endres så til “CrashReporter” under mappen til Little Snitch slik at det skal se legitimt ut:

mv /Users/Shared/Utils/patch /Library/LittleSnitchd/CrashReporter

Malwarebytes ofret noen filer for å finne ut hva, om noe, kom til å skje. Ingenting skjedde deres maskin, selv om de ventet og serverte villige ofre i form av dokumenter, så de prøvde igjen.

Det er også ryktet at Mixed In Key 8 og Ableton Live til Mac potensielt inneholder gisselvare. Bra, da kan de prøve en av dem, for nå er vi spente.

Skyter seg selv i foten, det er ikke så vanlig

Sikkerhetsekspertene valgte å utsette seg for Mixed In Key for å finne ut om dette programmet var offensivt på ballen, men heller ikke denne gang var det lett:

Malwarebytes måtte skru klokken på maskinen frem tre dager, koble maskinen fra nettet og ta et par omstarter før filene ble kryptert av hackerprogramvaren.

Problemet er dessuten at koderne har vært så dumme å inkludere systemfiler i krypteringen, noe som selvsagt medfører at systemet ikke starter og ingen penger kan sendes! Redaksjonen humrer fremdeles.

Her er feilinformasjonen for de farlige filene, servert av Malwarebytes:

Filer

patch (and com.apple.questd)
5a024ffabefa6082031dccdb1e74a7fec9f60f257cd0b1ab0f698ba2a5baca6b

Little Snitch 4.5.2.dmg
f8d91b8798bd9d5d348beab33604a540e13ce40b88adc096c8f1b3311187e6fa

Mixed In Key 8.dmg
b34738e181a6119f23e930476ae949fc0c7c4ded6efa003019fa946c4e5b287a

Nettverk

C2 server 167.71.237.219
C2: andrewka6.pythonanywhere[.]com

Kilde:
Malwarebytes

Annonse