Что нового

News Новый вымогатель ориентированный на пользователей Apple MacOS

Vander 0

Vander

Команда форума
10.11.2019
483
1 109
macos-ransomware-attack.jpg

Исследователи кибербезопасности обнаружили новый тип вымогателей, предназначенный для пользователей MacOS, который распространяется через пиратские приложения.

Согласно нескольким независимым сообщениям от Malwarebytes, вариант вымогателя, получивший название EvilQuest, упакован вместе с легитимными приложениями, которые после установки маскируются под CrashReporter от Apple или Обновление программного обеспечения Google.

Помимо шифрования файлов жертвы, EvilQuest также обладает возможностями для обеспечения устойчивости удаленной сессии, регистрации нажатий клавиш, создания обратной оболочки и кражи файлов, связанных с кошельком криптовалюты.
С этой разработкой EvilQuest объединяет несколько штаммов вымогателей, которые выделяют исключительно macOS, включая KeRanger и Patcher.

Источником вредоносного ПО, по-видимому, являются троянские версии популярных программ для macOS, таких как Little Snitch, программное обеспечение DJ под названием Mixed In Key 8 и Ableton Live, которые распространяются на популярных торрент-сайтах.

Для начала, установщик Little Snitch имеет привлекательную и профессиональную упаковку с хорошо сделанным пользовательским установщиком, который имеет правильную подпись кода. Однако этот установщик представлял собой простой пакет установщика Apple с общей иконкой. Хуже того, пакет установщика был бессмысленно распределен внутри файла образа диска.

После установки на зараженном хосте EvilQuest выполняет проверку «песочницы» для обнаружения патчей и оснащен анти-отладочной логикой, чтобы убедиться, что вредоносная программа не работает под отладчиком.

Вредоносные программы нередко включают задержки. Например, первый в мире вымогатель Mac, KeRanger, включал трехдневную задержку между заражением системы и началом шифрования файлов. Это помогает скрыть источник вредоносного ПО, поскольку вредоносное поведение может быть не сразу связано с программой, установленной три дня назад.

Он также убивает любое программное обеспечение для обеспечения безопасности (например, Kaspersky, Norton, Avast, DrWeb, McAfee, Bitdefender и Bullguard), которое может обнаруживать или блокировать такие злонамеренные действия в системе, и укореняется в системе с помощью файлов агента запуска и файлов свойств демона (" com.apple.questd.plist ") для автоматического перезапуска вредоносного ПО при каждом входе пользователя в систему.

На последнем этапе EvilQuest запускает свою собственную копию и начинает шифрование файлов - включая файлы, связанные с криптовалютными кошельками («wallet.pdf») и связкой ключей, - прежде чем в конечном итоге отобразить инструкции по выкупу, чтобы принудить вас заплатить 50 долларов в течение 72 часов, или рискует оставить файлы заблокированными.

Но функции EvilQuest выходят за рамки типичного вымогателя, в том числе возможность связи с сервером управления и контроля («andrewka6.pythonanywhere.com») для удаленного выполнения команд, запуска кейлоггера, создания обратной оболочки и даже непосредственного выполнения вредоносной полезной нагрузкипрямо из RAM.

Вооружившись этими возможностями, злоумышленник может сохранить полный контроль над зараженным хостом.

Пока идет работа по поиску слабости в алгоритме шифрования для создания расшифровщика, пользователям macOS рекомендуется создавать резервные копии, чтобы избежать потери данных, и использовать такую утилиту, как RansomWhere? чтобы предотвратить такие атаки.

Лучший способ избежать последствий вымогателей - поддерживать хороший набор резервных копий. Сохраняйте как минимум две резервные копии всех важных данных, и по крайней мере одну не следует постоянно подключать к вашему Mac.
 
Верх Низ