EvilQuest؛ باج افزاری جدید برای سیستم عامل مک

به تازگی باج‌افزار جدیدی شناسایی شده که کاربران سیستم عامل مک را مورد هدف حملات خود قرار داده است. این باج افزار که “EvilQuest” نامیده می شود از طریق نرم‌افزارهای هک و کرک شده منتشر می‌شود.

بر اساس چندین گزارش مستقل که توسط محققان امنیت سایبری K7 Lab، Dinesh Devadoss، Patrick Wardle و Malwarebytes منتشر شده اند؛ این باج‌افزار، به همراه نرم‌افزارهای مجاز، بر روی سیستم های کاربران نصب شده و توانایی آن را دارد که در هنگام نصب خود چنان وانمود کند که انگار ابزار CrashReporter شرکت اپل یا Google Software Update در حال نصب بر روی سیستم کاربر است.

باج افزار EvilQuest علاوه بر امکان رمزنگاری فایل‌ها، دارای امکانات دیگری همچون ثبت کلیدهای تایپ شده توسط کاربر، ایجاد یک پوسته معکوس و همچنین سرقت فایل‌های مربوط به کیف پول‌های رمز ارزها است. با قابلیت هایی که باج افزار EvilQuest دارد می توان آن را هم رده باج‌افزارهایی مانند KeRanger و Patcher که مخصوص macOS طراحی شده‌اند، دانست.

به نظر می‌رسد منبع انتشار این باج افزار، نسخه‌های آلوده به تروجان نرم‌افزارهای محبوب سیستم عامل مک مثل Little Snitch، Mixed In Key 8 و Ableton Live باشند که برای دانلود، در وب سایت های تورنت قرار داده شده اند.

Thomas Reed مدیر Mac و محصولات تلفن همراه Malwarebytes در این خصوص می گوید: «فایل نصب اصلی Little Snitch به روشی کاملاً حرفه‌ای با فایل نصبی که به صورت سفارشی طراحی شده است، ترکیب می شود. این فایل نصبی، در ظاهر شبیه یک پکیج نصب معمولی اپل با یک آیکون متداول است. بدتر اینکه این پکیج نصب به ظاهر معمولی، از طریق یک فایل ایمیج دیسک توزیع می‌شود».

EvilQuest چگونه به سیستم ها نفوذ می کند؟

باج افزار EvilQuest پس از نصب بر روی میزبان‌ آلوده، ویژگی sleep-patching آن را تحت کنترل خود می گیرد. این باج افزار، مجهز به منطق ضددیباگ (بررسی و اشکال زدایی) کد است.

به گفته Reed: «وجود تأخیر در فرایند کار بدافزارها موضوع بی سابقه‌ای نیست. به عنوان مثال، اولین باج‌افزار مک به نام KeRanger با یک تأخیر سه روزه میان ‌آلوده کردن سیستم و شروع رمزنگاری فایل‌ها کار خود را آغاز کرد. این اقدام موجب مبهم کردن منبع انتشار بدافزار می شود زیرا در این حالت، احتمال تشخیص ارتباط بین رفتار مخرب آن و نرم‌افزاری که سه روز قبل نصب شده است، کمتر خواهد شد».

همچنین این باج افزار تمام نرم‌افزارهای امنیتی (از جمله Kaspersky ،Norton ،Avast ،DrWeb ،McAfee ،Bitdefender و Bullguard) که ممکن است باعث حذف یا مسدود شدن رفتارهای مخرب آن بر روی سیستم شوند را غیرفعال کرده و با استفاده از فایل لیست خصوصیات daemon (com.apple.questd.plist) می تواند حضور خود را دایمی می‌کند تا با هر بار ورود کاربر به سیستم، دوباره فعالیت خود را از سرگیرد.

EvilQuest در آخرین مرحله از آلوده سازی نیز یک نسخه کپی از خودش را تولید کرده و شروع به رمزنگاری فایل‌ها می‌کند. اتفاقی که در نهایت می افتد این است که پیام هشداری مبنی بر پرداخت 50 دلار در عرض 72 ساعت بر روی نمایشگر کاربران نشان داده می‌شود که در صورت پرداخت نکردن این مبلغ، فایل‌ها برای همیشه از بین خواهند رفت.

قابلیت‌های EvilQuest فراتر از باج‌افزارهای معمولی است و امکاناتی از جمله قابلیت برقراری ارتباط با سرور فرماندهی و کنترل برای اجرای فرمان‌ها از راه دور، اجرای بدافزار ثبت کلیدهای تایپ شده، ایجاد یک پوسته معکوس و حتی اجرای یک پی‌لود مخرب خارج از حافظه را دارا است. با چنین قابلیت‌ها و امکاناتی مهاجم می‌تواند کنترل خود بر سیستم میزبان آلوده را همچنان حفظ کند.

اگر چه تلاش‌ها برای پیدا کردن نقطه ضعفی در الگوریتم رمزنگاری این باج افزار جهت تولید ابزار رمزگشایی آن هنوز ادامه دارد اما به کاربران سیستم عامل مک توصیه می شود که از اطلاعات خودشان پشتیبان گیری کرده و برای مقابله با چنین حملاتی، از ابزارهایی همچون RansomWhere یا نرم افزارهای ضدباج افزار استفاده کنند.

منبع: thehackernews