جدید EvilQuest ransomware کشف هدف قرار دادن macOS کاربران

محققان امنیتی کشف کرده اند این هفته جدید ransomware هدف قرار دادن فشار macOS کاربران است.

نام OSX.EvilQuest این ransomware است که متفاوت از قبلی macOS ransomware تهدید چرا که علاوه بر رمزگذاری فایل های قربانی EvilQuest همچنین نصب یک keylogger معکوس پوسته و دزد cryptocurrency کیف پول-فایل های مربوط به از آلوده میزبان.

“مسلح با این قابلیت های مهاجم می تواند اصلی کنترل کامل بر یک میزبان آلوده گفت:” پاتریک وردل اصلی محقق امنیتی در Jamf. این به این معنی است که حتی اگر قربانیان پرداخت می شود, مهاجم هنوز هم دسترسی به کامپیوتر خود و در ادامه به سرقت فایل ها و سکته صفحه کلید.

وردل در حال حاضر یکی از بسیاری از macOS محققان امنیتی که در حال تجزیه و تحلیل این تهدید جدید است.

دیگران که همچنین بررسی EvilQuest شامل توماس رید مدیر مک و تلفن همراه در Malwarebytes و فیل استوکس, macOS, محقق امنیتی در SentinelOne.

نی و استوکس در حال حاضر به دنبال یک ضعف یا اشکال در ransomware را رمزگذاری طرح است که می تواند مورد سوء استفاده برای ایجاد یک decryptor و کمک آلوده قربانیان بازیابی فایل های خود را بدون پرداخت باج.

EvilQuest توزیع شده است از طریق سرقت نرم افزار

اما محقق که برای اولین بار کشف جدید EvilQuest ransomware است K7 آزمایشگاه امنیت محقق دینش Devadoss.

Devadoss توییتی در مورد پیدا کردن دیروز, ژوئن 29. اما شواهد جدید ظاهر در عین حال نشان داده است که EvilQuest شده است در واقع توزیع در وحشی پس از شروع ماه ژوئن سال 2020 است.

نی گفته ZDNet در یک تماس تلفنی که امروز Malwarebytes پیدا کرده است EvilQuest مخفی داخل, سرقت, macOS, نرم افزار آپلود در تورنت پورتال و انجمن ها آنلاین.

Devadoos کشف کرده است EvilQuest در یک بسته نرم افزاری به نام Google به روز رسانی نرم افزار وردل پیدا کرده است نمونه ای از EvilQuest داخل یک سرقت نسخه از محبوب نرم افزار DJ مخلوط در کلید و نی کشف کرده است آن را در داخل macOS ابزار امنیتی به نام Little Snitch.

evilquest-forum.png

روسی, فروم, پخش كردن, سرقت macOS برنامه شما با OSX.EvilQuest

تصویر: ZDNet از طریق Malwarebytes

اما نی به ما گفت که او معتقد است که این ransomware است که به احتمال زیاد بیشتر به طور گسترده توزیع شده اعمال نفوذ بسیاری از برنامه های دیگر و نه فقط این سه.

وردل که منتشر شده در عمق تجزیه و تحلیل فنی از EvilQuest اوایل امروز گفت: این بدافزار بسیار ساده, آن را به عنوان حرکت به رمز در آوردن فایل ها کاربر را به عنوان به زودی به عنوان آن را اجرا.

هنگامی که فایل را رمزگذاری طرح به پایان می رسد, یک پنجره نشان داده شده است به کاربر اجازه قربانی می دانم که آنها آلوده شده است و فایل های خود را رمزگذاری شده است.

evilquest-popup.png
تصویر: Dinesh Devadoss

قربانی است که به کارگردانی باز باج توجه داشته باشید در قالب یک فایل متنی که قرار داده شده بر روی دسکتاپ خود را, که به نظر می رسد مانند زیر:

evilquest-ransom-note.png
تصویر: پاتریک وردل

استوکس گفته ZDNet ransomware خواهد رمز در آوردن هر گونه فایل با زیر پسوند فایل:

.pdf .doc .jpg, .کلیپ برد چند منظوره .صفحات .pem, .cer, .crt .پی اچ پی .py, .ثانیه .m .hpp, .cpp .cs .pl .p .p3 .اچ تی ام ال .webarchive, .فایل های فشرده .xsl .xslx, .docx .ppt .pptx, .keynote .js .sqlite3, .کیف پول .dat

پس از فرایند رمزگذاری به پایان می رسد ransomware نصب keylogger به ضبط همه کاربر کلید معکوس پوسته بنابراین مهاجم می تواند اتصال به کامپیوتر میزبان و اجرای دستورات سفارشی و نیز نگاه به سرقت انواع زیر فایل معمولا به کار گرفته شده توسط cryptocurrency کیف پول برنامه های کاربردی.

  • “کیف پول.pdf”
  • “کیف پول.png”
  • “کلید.png”
  • “*.p12”

در تجزیه و تحلیل خود از EvilQuest نی نیز اشاره کرد که این ransomware همچنین تلاش برای تغییر فایل های خاص به گوگل کروم مکانیزم به روز رسانی و استفاده از فایل های به عنوان یک شکل از تداوم شرایط آلوده میزبان.

“این [Chrome به روز رسانی] فایل به حال محتوای این پچ فایل prepended به آنها که البته به آن معنا که کدهای مخرب را اجرا هنگامی که هر یک از این فایل ها اجرا شده است” نی گفت. “با این حال کروم را ببینید که فایل های اصلاح شده اند و جایگزین فایل های اصلاح شده با پاک کردن نسخه های به عنوان به زودی به عنوان آن را اجرا می کند پس از آن معلوم نیست چه هدف اینجا است.”

وردل که ایجاد چندین منبع باز macOS ابزار امنیتی گفت که یک ابزار او منتشر شد در سال 2016 به نام RansomWhere می تواند به شناسایی و متوقف کردن EvilQuest از در حال اجرا. رید همچنین گفت که Malwarebytes برای مک نیز به روز شده برای شناسایی و متوقف کردن این ransomware قبل از آن هر گونه آسیب است.

EvilQuest سوم ransomware فشار است که به طور انحصاری هدفمند macOS کاربران پس از KeRanger و Patcher. یکی دیگر از macOS ransomware فشار به نام Mabouia تنها وجود داشته است در یک سطح نظری و هرگز منتشر شده در دنیای واقعی است.

tinyurlis.gdv.gdv.htu.nuclck.ruulvis.netshrtco.detny.im

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>