Agora, nem os usuários de Mac OS X estão à salvo da praga dos ransomware: o primeiro malware do tipo totalmente operacional foi identificado no sistema e está se espalhando através de um conhecido cliente de torrents.
Pesquisadores de segurança descobriram nesse final de semana que os instaladores oficiais do Transmission BitTorrent foram contaminados com o ransomware batizado de KeRanger.
Segundo os analistas de segurança da Palo Alto Networks, dois arquivos DMG de instalação do Transmission foram comprometidos e foram sendo oferecidos para download através da página oficial do projeto. Especula-se que o site tenha sido invadido e os instaladores de código-aberto substituídos pelas versões infectadas com o KeRanger.
Uma vez que o Transmission está assinado com um certificado válido de desenvolvimento para Macs, o ransomware passava imperceptível pelo Gatekeeper da Apple. Uma vez instalado, o vírus permanece adormecido por três dias, até despertar e se conectar com seu servidor de controle central através da rede anônima Tor. Através dessa conexão, o KeRanger pode receber instruções de comando e atualizações.
Uma vez iniciado, o ransomware encripta diversos arquivos do Mac da vítima, que passa a não conseguir mais acessá-los normalmente. Para liberar novamente o uso desses documentos, os autores do KeRanger cobram um resgate de um bitcoin a ser depositado em uma carteira virtual. O valor do resgate equivale a R$1.552 na cotação de hoje. Uma análise do código-fonte do vírus constatou que seus criadores trabalham em uma forma de corromper inclusive o recurso de Time Machine do OS X, o que afetaria também os backups de suas vítimas.
A Apple já foi notificada do incidente e revogou o certificado do Transmission, além de atualizar suas definições de segurança contra malware para detectar o KeRanger. Os responsáveis pelo Transmission também já removeram os arquivos de instalação contaminados.
