La amenaza ransomware parece omnipresente. Sin embargo, desde la aparición del primer ransomware Mac hace cuatro años, no ha habido demasiadas cepas específicas orientadas a esa rama de ordenadores. Esto era cierto hasta el martes pasado, cuando apareció una amenaza llamada ThiefQuest.
¿Es ThiefQuest un ransomware más? La respuesta es no. Además del ransomware, ThiefQuest tiene otro conjunto de capacidades de software espía que le permiten:
- filtrar archivos de un ordenador infectado,
- buscar contraseñas y datos de billetera de criptomonedas y
- ejecutar un registrador de tipeo para obtener contraseñas y números de tarjetas de crédito. Es decir, puede obtener la información financiera a medida que el usuario la ingresa.
Otra característica es que el componente de software espía también se esconde persistentemente en los dispositivos infectados, lo que significa que permanece allí incluso después de que un ordenador se reinicia, y podría usarse como plataforma de lanzamiento para ataques adicionales. Si consideramos que los ataques de ransomware son de por sí atípicos en Macs, este golpe doble es especialmente preocupante.
¿Cómo puede mi ordenador contagiarse con este Ransomware?
Aunque ThiefQuest está repleto de características amenazantes, es poco probable que infecte su Mac a corto plazo, a menos que descargue software pirateado. Esto quiere decir que para que su Mac se infecte, necesitará descargar un instalador comprometido y luego descartar una serie de advertencias de Apple para ejecutarlo. Es un buen recordatorio para obtener su software de fuentes confiables. Por lo tanto, nuestra recomendación es que debe usarse software firmado por Apple, o de la propia App Store.
Pero si eres alguien que utiliza torrents y estás acostumbrado a ignorar las advertencias de Apple, ThiefQuest ilustra los riesgos de ese enfoque. En sitios que distribuyen torrents se ha descubierto el malware en sí está diseñado para parecerse a un «programa de actualización de software de Google».
¿Cómo funciona ThiefQuest?
Aunque ThiefQuest tiene un amplio conjunto de capacidades que combinan ransomware con spyware, no está claro cuál es su objetivo final, particularmente porque el componente de ransomware parece incompleto. Una vez infectado el ordenador, el malware muestra una nota de rescate que exige el pago, pero sólo enumera una dirección estática de Bitcoin donde las víctimas pueden enviar dinero. Dadas las características de anonimato de Bitcoin, los atacantes no tendrían forma de saber quién ha pagado y quién no.
Además, la nota no enumera una dirección de correo electrónico que las víctimas puedan usar para comunicarse con los atacantes sobre la recepción de una clave de descifrado. Esta es otra señal de que el malware posiblemente no haya sido pensado como ransomware. En resumen, esto significa que si una víctima hace el envío de dinero a la dirección de Bitcoin, no tendría forma alguna para contactarse y recibir la clave para liberar sus archivos.
Por otro lado, ThiefQuest incluye algunas características para ayudarlo a esconderse. Además, no se ejecutará si detecta ciertas herramientas de seguridad como un antivirus. Y al analizar el código en sí, los investigadores dicen que algunos componentes se ocultaron cuidadosamente, por lo que sería difícil entender lo que hacen. Extrañamente, otros están a simple vista, y pueden ser visualizados con facilidad.
¿Qué tan peligroso es?
Dado que el malware se distribuye a través de archivos de tipo torrent, parece centrarse en el robo de dinero y todavía tiene algunos inconvenientes. Es por esto que los investigadores dicen que probablemente fue creado por piratas informáticos en lugar de personas que buscan realizar espionaje. No es del todo raro en el ámbito del malware ponerse un disfraz de ransomware para ocultar su identidad. El malware NotPetya, que causó el impacto más costoso de la historia, pretendió ser un ransomware, después de todo. Aún así, dado lo raro que es un ransomware orientado a Mac, es sorprendente ver a ThiefQuest adoptar un enfoque tan turbio.
Quizás el malware está utilizando el disfraz de ransomware en un intento de bloquear permanentemente a los usuarios de sus ordenadores. O tal vez ThiefQuest sólo busca obtener la mayor cantidad de dinero posible de las víctimas, buscando aprovechar el pánico que ocasiona la amenaza de la pérdida de archivos, sin tener planeado liberarlos finalmente.
Si te ha interesado el tema, te recomendamos este post donde puedes aprender a protegerte del ransomware por menos de un euro por día. Además, te sugerimos probar, de forma totalmente gratuita, BackupAssist, para podes realizar copias de seguridad y realizar restauraciones en caso de cualquier problema.
Por qué descargar BackupAssist:
– Backup y restauración granular para Windows.
– Gestión de múltiples medios de almacenamiento, incluso en la nube.
– Administración y monitorización centralizada y remota.
Prueba BackupAssist gratis y completamente funcional por 30 días, y obtén 15 días de asistencia preventa.
Por qué descargar BackupAssist:
- Backup y restauración granular para Windows.
- Gestión de múltiples medios de almacenamiento, incluso en la nube.
- Administración y monitorización centralizada y remota.
