Ransomware mới EvilQuest nhắm đến người dùng MacOS

ADMIN
23:47 01/07/2020

 

Được đặt tên là OSX.EvilQuest, ransomware này khác với ransomware macOS trước đây vì bên cạnh việc mã hóa các file của nạn nhân, EvilQuest cũng cài đặt keylogger và đánh cắp các file liên quan đến ví tiền điện tử từ các máy bị nhiễm. Điều này có nghĩa là, ngay cả khi nạn nhân đã trả tiền, kẻ tấn công vẫn có quyền truy cập vào máy tính của họ và tiếp tục ăn cắp các tập tin và ghi lại thao tác gõ trên bàn phím.

Nhà nghiên cứu đầu tiên phát hiện ra ransomware EvilQuest mới là Dinesh Devadoss từ Phòng thí nghiệm K7 Lab. Anh đã đăng tweet phát hiện của mình ngày 29 tháng 6 trên mạng xã hội Twitter. 

Ransomware này được tìm thấy trong bản crack của phần mềm DJ nổi tiếng Mixed In Key, cũng như tường lửa của MacOs tên là  Little Snitch.

Một diễn đàn ở Nga cung cấp bản lậu  Little Snitch bị nhiễm malware

Theo một phân tích kỹ thuật chuyên sâu về EvilQuest vào hôm 29-06-2020, ransomware này khá đơn giản, và nó mã hóa tệp của người dùng ngay khi được chạy. Khi quá trình mã hoá tệp kết thúc, một cửa sổ Pop-up được hiển thị, cho nạn nhân biết họ đã bị nhiễm ransomware và các tệp của họ bị mã hóa.

Nạn nhân được hướng dẫn mở file ghi chú ở Desktop như bên dưới:

Ransomware sẽ mã hóa bất kỳ tệp nào có phần mở rộng sau:

.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p , .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat

Sau khi quá trình mã hóa kết thúc, ransomware cài đặt một keylogger để ghi lại tất cả các tổ hợp phím của người dùng, reverse shell  để kẻ tấn công có thể kết nối với máy chủ bị nhiễm và chạy các lệnh tùy chỉnh, và cũng sẽ tìm cách đánh cắp các loại tệp sau, thường được sử dụng bởi ứng dụng ví tiền điện tử.

EvilQuest là chủng ransomware thứ ba đã nhắm mục tiêu tới người dùng macOS sau KeRanger và Patcher . Một chủng ransomware macOS khác có tên Mabouia chỉ tồn tại ở lý thuyết và chưa bao giờ được phát hành trong thế giới thực.

Tổng hợp: TNP

TIN LIÊN QUAN
𝐆𝐨𝐨𝐠𝐥𝐞 𝐂𝐚𝐩𝐭𝐮𝐫𝐞 𝐓𝐡𝐞 𝐅𝐥𝐚𝐠 được tổ chức bởi nhóm 𝐆𝐨𝐨𝐠𝐥𝐞 𝐒𝐞𝐜𝐮𝐫𝐢𝐭𝐲, có những thử thách từ các hạng mục khác nhau như: 𝐖𝐞𝐛, 𝐏𝐰𝐧, 𝐂𝐫𝐲𝐩𝐭𝐨, 𝐑𝐞𝐯𝐞𝐫𝐬𝐢𝐧𝐠, 𝐌𝐢𝐬𝐜. Thông tin về 𝐆𝐨𝐨𝐠𝐥𝐞 𝐂𝐚𝐩𝐭𝐮𝐫𝐞 𝐓𝐡𝐞 𝐅𝐥𝐚𝐠 𝟐𝟎𝟐𝟓 như sau: Thời gian diễn ra: Từ sáng 𝟏𝐡𝟎𝟎 ngày 𝟐𝟖/𝟎𝟔/𝟐𝟎𝟐𝟓 (Thứ 7) đến sáng...
Phòng Thí nghiệm An toàn Thông tin chào đón các bạn sinh viên đam mê lĩnh vực an ninh mạng và kiểm thử xâm nhập tham gia chương trình Thực tập Nghiên cứu (Research Intern) - Mùa hè năm 2025. Trong thời gian thực tập, các bạn sẽ có cơ...
Xin chào các bạn sinh viên UIT, 𝐖𝐚𝐧𝐧𝐚𝐆𝐚𝐦𝐞 đã quay trở lại với các bạn rồi nè. Chào đón các bạn lần này sẽ là 𝐍𝐚𝐡𝐚𝐦𝐂𝐨𝐧 𝐂𝐓𝐅 𝟐𝟎𝟐𝟓. Dưới sự chủ trì của John Hammond, giải CTF này sẽ là sân chơi lý tưởng để bạn thử thách bản thân...