K7 بدافزاری جدید با هدف قرار دادن کاربران macOS اپل
ایتنا - محققان امنیت سایبری نوع جدیدی از باج افزارها را بررسی کردهاند که کاربران ماکرو را هدف قرار داده است که از طریق برنامههای Pirated منتشر میشود.
براساس گزارشات به دست آمده از محققان بدافزار K7 همراه با برنامههای معتبر دیگری تهیه شده است که پس از نصب، خود را با عنوان Apple CrashReporter یا Google Software Update نمایش میدهد.
به گزارش ایتنا از پایگاه اطلاع رسانی پلیس فتا، این بدفزار پس از نصب علاوه بر رمزگذاری پروندههای قربانی، همچنین دارای امکاناتی مانند ثبت ورودها از طریق صفحه کلید، ورود به سیستم، ایجاد یک پوسته معکوس و سرقت فایل های مربوط به کیف پول است.
با این پیشرفت، EvilQuest به تعداد کمی از سویههای باج افزار که به طور انحصاری از macOSها، از جمله KeRanger و Patcher جدا شدهاند، میپیوندد.
به نظر میرسد منبع این بدافزار نسخههای تروجان شده نرم افزارmacOS مانندLittle Snitch ، یک نرم افزار DJ به نام Mixed In Key 8 و Ableton Live است که در سایتهای مورد نظر تورنت توزیع میشود.
کارشناسان معتقد هستند: این بدافزار در زمان شروع نصب به صورت زیبای و حرفهای بسته بندی شده است و دارای یک نصب کننده سفارشی خوب است. با این حال، این نصب کننده یک بسته نصب ساده اپل با یک آیکون عمومی است. بدتر اینکه، بسته نصب کننده به طور عجیبی در یک فایل تصویری دیسک توزیع میشود.
EvilQuest پس از نصب بر روی میزبان آلوده، یک پروسه را که در حال انجام است شناسایی و به روشی عمل میکند تا این گونه به نظر برسد که برنامه در حال اجرا با مشکل مواجهه شده است.
کارشناسان نیز میگویند: به عنوان مثال، اولین باج افزار مک، KeRanger ، بین آلوده شدن سیستم و شروع به رمزگذاری پروندهها سه روز طول کشید. این فاصله زمانی به پنهان کردن منبع بدافزار کمک میکند، زیرا ممکن است این رفتار بلافاصله مخرب نباشد و احتمال اینکه با با یک برنامه نصب شده سه روز قبل مرتبط باشد.
این بدافزار قادر است هرگونه نرم افزار امنیتی (مانند Kaspersky -Norton -Avast - DrWeb - McAfee - Bitdefender و (Bullguard را که ممکن است چنین رفتارهای مخرب را روی سیستم تشخیص داده یا مسدود کنند، از بین میبرد و برای شروع مجدد تخریب سیستم قربانی، این بدافزار به طور خودکار هر بار که کاربر وارد سیستم شوید شروع به فعالیت میکند.
در آخرین مرحله، EvilQuest نسخهای از خود را راه اندازی میکند و شروع به رمزگذاری پروندهها، شمارش کیف پول و پروندههای مربوط به keychain می کند. در پایان در طول 72 ساعت درخواست پرداخت 50 دلار داده میشود تا پرونده سیستم قربانی را رمزگشایی کند.
اما ویژگیهای EvilQuest فراتر از باج افزار معمولی است، از جمله امکان برقراری ارتباط با سرور فرمان و کنتر برای اجرای دستورات از راه دور، شروعkeylogger ، ایجاد یک پوسته معکوس و حتی اجرای بارهای مخرب به طور مستقیم خارج از حافظه در چنین حالتی و با داشتن این قابلیتها، مهاجم میتواند کنترل کامل بر روی یک میزبان آلوده را حفظ کند.
در حالی که کار برای یافتن یک ضعف در الگوریتم رمزگذاری برای ایجاد رمزگشایی در نظر گرفته شده است، توصیه می شود کاربران macOS برای جلوگیری از از دست رفتن دادهها، نسخه پشتیبان تهیه کنند و برای خنثی کردن چنین حملات از ابزاری مانند RansomWhere استفاده کنند.
در پایان باید گفت: بهترین راه برای جلوگیری از پیامدهای باج افزار این است که مجموعه خوبی از نسخه پشتیبان تهیه کنید. حداقل دو نسخه پشتیبان از کلیه دادههای مهم را نگه دارید.