Các nhà nghiên cứu an ninh mạng trong tuần này đã phát hiện ra một loại ransomware mới nhắm vào người dùng macOS lây lan qua các ứng dụng lậu.
Theo một số báo cáo độc lập từ nhà nghiên cứu phần mềm độc hại K7 Lab Dinesh Devadoss, Patrick Wardlevà Malwarebytes, biến thể ransomware – được đặt tên là “EvilQuest“- được đóng gói cùng với các ứng dụng hợp pháp, khi cài đặt, sẽ ngụy trang thành CrashReporter của Apple hoặc Cập nhật phần mềm của Google.
Bên cạnh việc mã hóa các tệp của nạn nhân, EvilQuest còn đi kèm với các khả năng để đảm bảo tính bền bỉ, đăng nhập tổ hợp phím, tạo vỏ ngược và đánh cắp các tệp liên quan đến ví tiền điện tử.
Với sự phát triển này, EvilQuest đã tham gia một số ít các chủng ransomware đã độc quyền phát hành macOS, bao gồm cả KeRanger và Máy vá.
Nguồn gốc của phần mềm độc hại dường như là các phiên bản trojan hóa của phần mềm macOS phổ biến – chẳng hạn như Little Snitch, phần mềm DJ có tên là Hỗn hợp trong khóa 8 và Ableton Live – được phân phối trên các trang web torrent phổ biến.
“Để bắt đầu, trình cài đặt Little Snitch hợp pháp được đóng gói hấp dẫn và chuyên nghiệp, với trình cài đặt tùy chỉnh được làm tốt, được ký đúng mã,” Thomas Reed, giám đốc Mac và di động tại Malwarebytes, cho biết. “Tuy nhiên, trình cài đặt này là gói trình cài đặt đơn giản của Apple có biểu tượng chung. Tệ hơn nữa, gói trình cài đặt được phân phối vô nghĩa bên trong tệp ảnh đĩa.”
Sau khi cài đặt trên máy chủ bị nhiễm, EvilQuest sẽ kiểm tra hộp cát để phát hiện patch-ngủg và được trang bị logic chống gỡ lỗi để đảm bảo chương trình phần mềm độc hại không chạy theo trình gỡ lỗi.
“Không có gì bất thường khi phần mềm độc hại bao gồm sự chậm trễ”, ông Sậy nói. “Ví dụ, phần mềm ransomware Mac đầu tiên, KeRanger, bao gồm thời gian trì hoãn ba ngày giữa khi nó lây nhiễm hệ thống và khi nó bắt đầu mã hóa các tệp. Điều này giúp ngụy trang nguồn của phần mềm độc hại, vì hành vi độc hại có thể không ngay lập tức liên kết với một chương trình được cài đặt ba ngày trước. “
Nó cũng giết bất kỳ phần mềm bảo mật nào (ví dụ: Kaspersky, Norton, Avast, DrWeb, McAfee, Bitdefender và Bullguard) có thể phát hiện hoặc chặn hành vi độc hại đó trên hệ thống và thiết lập sự kiên trì sử dụng tác nhân khởi chạy và trình nền danh sách tài sản tệp (“com.apple.questd.plist”) để tự động khởi động lại phần mềm độc hại mỗi khi người dùng đăng nhập.
Trong giai đoạn cuối, EvilQuest tung ra một bản sao của chính nó và bắt đầu mã hóa các tệp – đếm ví tiền điện tử (“Wallet.pdf”) và các tệp liên quan đến khóa – trước khi hiển thị các hướng dẫn tiền chuộc để trả 50 đô la trong vòng 72 giờ hoặc có nguy cơ khiến các tệp bị khóa.
Nhưng các tính năng của EvilQuest vượt xa phần mềm ransomware thông thường, bao gồm khả năng giao tiếp với máy chủ chỉ huy và kiểm soát (“andrewka6.pythonanywhere.com”) để thực thi các lệnh từ xa, khởi tạo keylogger, tạo vỏ ngược và thậm chí thực hiện tải trọng độc hại trực tiếp hết bộ nhớ
“Được trang bị những khả năng này, kẻ tấn công có thể duy trì toàn quyền kiểm soát một máy chủ bị nhiễm bệnh”, Wardle nói.
Mặc dù công việc là tìm ra điểm yếu trong thuật toán mã hóa để tạo bộ giải mã, nhưng người dùng macOS nên tạo bản sao lưu để tránh mất dữ liệu và sử dụng tiện ích như Tiền chuộc? để ngăn chặn các cuộc tấn công như vậy.
“Cách tốt nhất để tránh hậu quả của ransomware là duy trì một bộ sao lưu tốt,” Reed kết luận. “Giữ ít nhất hai bản sao lưu của tất cả các dữ liệu quan trọng và ít nhất một bản sao không nên được giữ vào máy Mac của bạn mọi lúc.”
