研究人員Dinesh Devadoss發現,EvilQuest除了會冒充Google Software Update等合法軟體的安裝器,這款勒索軟體作者賦予它執行於VM、關閉偵錯工具(debugger),以及偵測防毒軟體(卡巴斯基、Norton、Avast、McAfee、Bitdefender、Bullguard等)的能力,以增加偵測的難度。(圖片翻攝自/https://twitter.com/dineshdina04/status/1277668001538433025)

繼4年前第一隻Mac版勒索軟體現身後,研究人員近日又發現一隻macOS版勒索軟體冒充多種合法軟體,包括Google更新軟體、安全工具及DJ軟體在網路流傳,除了加密檔案外,還具有鍵盤側錄及建立C&C連線,而且付了錢也可能救不回檔案。

這隻勒索程式是由安全廠商K7 Labs實驗室研究人員Dinesh Devadoss發現。它首先出現在俄羅斯盜版網站連結分享論壇供人下載,當時被稱為EvilQuest,而這個名稱原是來自一款合法遊戲,因此,另一家資安廠商Malwarebytes的研究人員也將之命名為ThiefQuest。

EvilQuest/ThiefQuest會冒充合法軟體的安裝器(installer)吸引用戶下載,例如Devadoss發現它冒充Google Software Update軟體,但其他研究人員發現它還偽裝的對象還包括Mac版防火牆Little Snitch及DJ軟體Mixed in Key、編曲工具Ableton等等。但是不論使用者下載了什麼,EvilQuest進入電腦會顯示DMG檔且沒有一個自有的圖示,會讓MacOS發出警示。

Malwarebytes行動及Mac平台總監Thomas Reed指出,EvilQuest/ThiefQuest是相隔4年之後,又再一次出現的macOS版勒索軟體。和第一隻Mac版勒索軟體KeRanger一樣,EvilQuest也具備延遲加密的特徵,會在感染後幾天才加密檔案,以避免被安全軟體偵查。

EvilQuest是隨機挑戰檔案加密,但是由於撰寫的瑕疵,加密過程會造成macOS的Dock被重設、Finder凍住或密碼鑰匙圈(Keychain)也被加密。不過一旦它加密完成,受害檔案名會加入BEBABEDD的副檔名,並顯示勒索50美元的訊息。

而且它的能力不只有加密檔案。EvilQuest還會下載鍵盤側錄軟體竊取用戶密碼,而且能開啟反向shell(reverse shell)和外部C&C伺服器建立連線,以下載其他惡意程式及指令。研究人員並發現,EvilQuest的作者賦予它執行於VM、關閉偵錯工具(debugger),以及偵測Little Snitch或防毒軟體(像是卡巴斯基、Norton、Avast、McAfee、Bitdefender、Bullguard等)的能力,以增加偵測的難度。

長年從事Mac惡意軟體分析的Principle Security研究人員Patrick Wardle指出,擁有這些能力,將使駭客取得受感染電腦的完整控制權,未來仍可能持續存取電腦、竊取檔案及密碼。

研究人員並指出,EvilQuest要求靜態比特幣地址,沒有電子郵件信箱,因此駭客無法確知是誰付款,受害者也無從聯繫駭客,因此即使用戶付款,也不見得能回復檔案。因此最保險的作法是重要檔案都應該至少有2份備份,且存在不同電腦上。


Advertisement

更多 iThome相關內容