Ransomware mới EvilQuest nhắm đến người dùng MacOS

ADMIN
23:47 01/07/2020

 

Được đặt tên là OSX.EvilQuest, ransomware này khác với ransomware macOS trước đây vì bên cạnh việc mã hóa các file của nạn nhân, EvilQuest cũng cài đặt keylogger và đánh cắp các file liên quan đến ví tiền điện tử từ các máy bị nhiễm. Điều này có nghĩa là, ngay cả khi nạn nhân đã trả tiền, kẻ tấn công vẫn có quyền truy cập vào máy tính của họ và tiếp tục ăn cắp các tập tin và ghi lại thao tác gõ trên bàn phím.

Nhà nghiên cứu đầu tiên phát hiện ra ransomware EvilQuest mới là Dinesh Devadoss từ Phòng thí nghiệm K7 Lab. Anh đã đăng tweet phát hiện của mình ngày 29 tháng 6 trên mạng xã hội Twitter. 

Ransomware này được tìm thấy trong bản crack của phần mềm DJ nổi tiếng Mixed In Key, cũng như tường lửa của MacOs tên là  Little Snitch.

Một diễn đàn ở Nga cung cấp bản lậu  Little Snitch bị nhiễm malware

Theo một phân tích kỹ thuật chuyên sâu về EvilQuest vào hôm 29-06-2020, ransomware này khá đơn giản, và nó mã hóa tệp của người dùng ngay khi được chạy. Khi quá trình mã hoá tệp kết thúc, một cửa sổ Pop-up được hiển thị, cho nạn nhân biết họ đã bị nhiễm ransomware và các tệp của họ bị mã hóa.

Nạn nhân được hướng dẫn mở file ghi chú ở Desktop như bên dưới:

Ransomware sẽ mã hóa bất kỳ tệp nào có phần mở rộng sau:

.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p , .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat

Sau khi quá trình mã hóa kết thúc, ransomware cài đặt một keylogger để ghi lại tất cả các tổ hợp phím của người dùng, reverse shell  để kẻ tấn công có thể kết nối với máy chủ bị nhiễm và chạy các lệnh tùy chỉnh, và cũng sẽ tìm cách đánh cắp các loại tệp sau, thường được sử dụng bởi ứng dụng ví tiền điện tử.

EvilQuest là chủng ransomware thứ ba đã nhắm mục tiêu tới người dùng macOS sau KeRanger và Patcher . Một chủng ransomware macOS khác có tên Mabouia chỉ tồn tại ở lý thuyết và chưa bao giờ được phát hành trong thế giới thực.

Tổng hợp: TNP

TIN LIÊN QUAN
Ngày 14/5 vừa qua, InSecLab – Phòng thí nghiệm An toàn Thông tin đã chính thức góp mặt tại sự kiện UIT InnoResearch Connect 2025, chương trình kết nối nghiên cứu giữa sinh viên – giảng viên – doanh nghiệp trong lĩnh vực khoa học và công nghệ. Tại sự...
HackTheOn Sejong là cuộc thi CTF quốc tế danh giá về An toàn Thông tin do thành phố tự trị Sejong – Hàn Quốc tổ chức, với tổng giá trị giải thưởng lên tới 38 triệu won. Cuộc thi gồm 2 bảng: Junior và Advanced – trong đó bảng Advanced...
SV UIT ơi, sẵn sàng chinh phục nghiên cứu và khởi nghiệp chưa? UIT InnoResearch Connect 2025 là cơ hội để bạn: Làm việc với giảng viên và doanh nghiệp trên các dự án AI, IoT, Blockchain, an toàn thông tin, vi mạch bán dẫn. Tham gia workshop nâng cao...