新的 EvilQuest 勒索软件被发现——专门针对 macOS 用户
EvilQuest勒索软件会对macOS系统进行加密,但也会安装一个键盘记录程序和一个反向shell来完全控制受感染的主机。
安全研究人员本周发现了一种新的针对macOS用户的勒索软件。
该勒索软件名叫OSX.EvilQuest,它不同于以前的macOS勒索软件威胁,因为除了加密受害者的文件,EvilQuest还安装了一个键盘记录程序,一个反向shell,而且能从受感染的主机上窃取与加密货币相关的文件。
Jamf的首席安全研究员Patrick Wardle说:“有了这些能力,攻击者就可以完全控制被感染的主机。”这意味着,即使受害者付费,攻击者仍然可以访问他们的电脑,继续窃取文件和键盘输入。
Wardle是macOS安全研究人员之一,他们正在分析这一新威胁。
其他调查EvilQuest的人包括Malwarebytes的mac手机主管Thomas Reed和SentinelOne的macOS安全研究员Phil Stokes。
目前,Reed 和 Stokes正在寻找勒索软件的加密方案中的弱点或漏洞,这些漏洞可以用来创建解密器,帮助受感染的受害者在不支付赎金的情况下恢复他们的文件。
EvilQuest是通过盗版软件发布的
但最先发现这种新的勒索软件的研究员是K7实验室的安全研究员Dinesh Devadoss。
6月29日,Devadoss在推特上公布了他的发现。然而,与此同时出现的新证据显示,自2020年6月初以来,EvilQuest就出现在各种软件中。
Reed说, Malwarebytes已经发现了隐藏在盗版macOS软件中的EvilQuest,这些软件被上传到torrent门户网站和在线论坛上。
Devadoos发现EvilQuest藏在一个名为谷歌软件更新的软件包中,Wardle在一个混装在Key中的流行DJ软件的盗版版本中发现了EvilQuest的样本,而Reed则发现它藏在macOS的安全工具Little Snitch中。
然而,Reed告诉我们,他相信勒索软件很可能是更广泛的分布,它将利用更多的应用程序,而不仅仅是这三个。
Wardle发表了一篇关于EvilQuest的深度技术分析,他说这个恶意软件非常简单,一旦执行它就会对用户的文件进行加密。一旦文件加密方案结束,一个弹出窗口就会显示给用户,让受害者知道他们已经被感染,他们的文件被加密了。
受害者被指示打开一张放在他们桌面上的文本文件形式的勒索便条,如下图所示:
Stokes称,勒索软件将加密任何文件,文件扩展名如下:
. doc; .pdf; .jpg; .txt; .pages; .pem; .c; .crt, . php; .py; .h; .m; .hpp; .cpp; .cs; .pl; .p; .p3; .html; .webarchive; .zip; .xsl; .xslx; .docx; .ppt; .pptx; .keynote; .js; .sqlite3; .wallet; .dat
加密过程结束后,勒索软件会安装一个键盘记录程序来记录所有用户的击键,以及一个反向shell能让攻击者可以连接到受感染的主机并运行定制命令,还会窃取以下类型的文件,这些文件通常是加密货币钱包应用程序使用的。
- “wallet.pdf”
- “wallet.png”
- “key.png”
- “*.p12”
在他自己对EvilQuest的分析中,Reed还指出,勒索软件还试图修改特定于谷歌Chrome更新机制的文件,并将这些文件作为感染主机的持久性文件。
“这些Chrome更新文件有预先的补丁文件内容,这意味着当这些文件被执行时,恶意代码就会随之运行。”Reed说。“然而,Chrome将会看到这些文件被修改了,然后它会在运行时用干净的副本来替换这些修改过的文件,所以现在还不清楚这样做的目的是什么。”
Wardle已经开发了几个开源的macOS安全工具,他说他在2016年发布的一个名为RansomWhere的工具可以检测并阻止EvilQuest的运行。Reed还表示,Malwarebytes对macOS也进行了更新,这样可以在这种勒索软件造成任何损害之前检测并阻止它。
EvilQuest是继KeRanger和Patcher之后第三个专门针对macOS用户的勒索软件。另一种被称为Mabouia的macOS勒索病毒只存在于理论层面,从未在现实世界中发布。
