研究人员发现了一种新的Mac恶意软件,该恶意软件可以对诸如勒索软件之类的受害系统上的文件进行加密,但还允许其操作员窃取数据并完全控制受感染的设备。
该恶意软件最初名为EvilQuest,后来又改名为ThiefQuest,以避免混淆,因为EvilQuest是视频游戏的名称。首次发现恶意软件时,VirusTotal上的防病毒引擎均未检测到样本,但在撰写本文时,已有十几个引擎检测到了该样本。
Malwarebytes已经看到该恶意软件已作为流行的macOS应用程序的木马安装程序分发,包括Little Snitch防火墙,Mixed In Key和Ableton DJ应用程序以及Google软件更新。
专门研究Apple产品安全性的研究人员Patrick Wardle指出,由于未对这些安装程序进行签名,因此macOS会在打开用户之前警告用户,但是下载盗版软件的人可能会忽略警告并在其设备上安装恶意软件。 。
Wardle发布了有关ThiefQuest如何安装,如何实现持久性及其功能的详细分析。部署了恶意软件后,它将开始对系统上找到的某些类型的文件进行加密,包括档案,图像,音频和视频文件,文档,电子表格,演示文稿,数据库和Web文件。
然后,它放下一个文本文件,通知用户其文件已加密,并指示他们支付50美元的比特币来恢复它们。赎金记录摘要也显示在模式窗口中,并使用macOS中的语音功能读出其内容。
Wardle说,除了勒索软件功能外,ThiefQuest还可以搜索并窃取可能包含有价值信息(例如,加密货币钱包数据)的文件,并且可以启动键盘记录程序。攻击者还可以远程指示恶意软件执行命令,他们可以使用它来创建反向外壳。Wardle警告说,基本上,攻击者可以使用这些功能完全控制设备。
恶意软件研究人员说,他们尚未确定ThiefQuest加密的文件是否可以恢复。但是,Bleeping Computer进行的分析表明,ThiefQuest实际上可能是伪装成勒索软件的雨刷器,因为即使用户支付了赎金,也可能无法恢复其文件。目的可能是使用勒索软件策略隐藏其他恶意活动。
Bleeping Computer指出,为所有受害者提供了用于支付赎金的相同比特币地址,并且赎金记录不包含用于与攻击者联系的电子邮件地址或其他信息。攻击者无法确定是谁支付了赎金,受害者一旦付清费用,就无法与他们取得联系以请求解密工具。
赎金通知书称,解密将在处理付款后的两个小时内自动开始,但是考虑到恶意软件的设计方式,这种情况不太可能发生。在撰写本文时,赎金记录中的比特币地址尚未进行任何交易。
