EvilQuest, un nou ramsomware pentru macOS

Profesioniștii din domeniul cyber security au descoperit EvilQuest, un nou program ransomware ce vizează dispozitive care rulează sub sistemul de operare macOS. EvilQuest este mai mult decât un simplu criptor. Astfel, pentru controlul deplin asupra mașinilor infectate programul malițios instalează un keylogger și un reverse shell (conexiune remote). Potrivit lui Dinesh Devadoss, specialist al companiei de securitate cibernetică K7 și primul care a identificat această nouă amenințare, EvilQuest activează cel puțin de la începutul lunii iunie 2020.

Conform ZDNet, EvilQuest poate fi găsit în software macOS piratat, postat pe diverse trackere și forumuri de torrente, sau în versiuni ale programului Little Snitch for Mac lansate, de asemenea, pe site-uri de torrente.

Little Snitch pe Rutracker

Acest program malițios care pare destul de simplu procedează la criptarea fișierelor utilizator imediat după executare. Imediat ce criptarea este finalizată, utilizatorul vede un pop-up unde este informat despre infecție și criptarea datelor. Pentru decriptarea datelor, victimelor li se cere ca în decurs de 72 de ore să plătească 50 de dolari.

Pop-up EvilQuest

EvilQuest folosește aceeași adresă statică bitcoin pentru toate victimele, iar mailul de contact lipsește. Atacatorii nu pot identifica victimele care au plătit răscumpărarea, iar victimele nu pot contacta operatoriul pentru decriptarea datelor. Acest aspect arată că EvilQuest nu este un ransomware obișnuit, ci un wiper, adică un program malițios care pur și simplu distruge fișierele.

EvilQuest criptează fișiere cu următoarele extensii: .pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet .dat. De asemenea, EvilQuest caută să fure fișiere asociate cu aplicațiile de criptovalută: Wallet.pdf, Wallet.png, Key.png, sau * .P12. Totodată, programul malware este interesat de orice fișiere cu extensiile .pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat . După finalizarea criptării, programul mai instalează un keylogger și un reverse shell care oferă operatorilor posibilitatea de a se conecta la gazda infectată și de a executa comenzi arbitrare.

EvilQuest poate verifica dacă funcționează pe o mașină virtuală și are capacități anti-debugging. De asemenea, încearcă să evite o serie de soluții defensive comune, printre care Little Snitch, Kaspersky, Norton, Avast, DrWeb, Mcaffee, Bitdefender și Bullguard.  Programul malware se conectează la http://andrewka6.pythonanywhere[.]com/ret.txt.

Analiștii își concentrează în prezent eforturile pe identificarea unui bug în schema de criptare a noului ransomware. O astfel de greșeală de programare ar putea fi folosită pentru a crea un decriptor, iar utilizatorii afectați și-ar putea recupera fișierele fără să plătească răscumpărarea.

Instrumente precum RansomWhere 2016 sau Malwarebytes for Mac sunt deja capabile să detecteze și să oprească lansarea acestui ramsomware.

EvilQuest este printre puținele ransomware-uri create special pentru sistemul de operare macOS, până în prezent fiind decoperite doar două astfel de programe, KeRanger și Patcher.

Leave a Reply

Your email address will not be published. Required fields are marked *