Ransomware جدید با هدف قرار دادن کاربران macOS اپل از طریق برنامه های Pirated

 

محققان امنیت سایبری این هفته نوع جدیدی از باج افزارها را هدف قرار دادند که کاربران ماکرو را هدف قرار داده است که از طریق برنامه های دزدگیر پخش می شود.

براساس چندین گزارش مستقل از محقق بدافزار K7 آزمایشگاه Dinesh Devadoss ، پاتریک Wardle و Malwarebytes ، نوع ransomware – لقب “EvilQuest” – همراه با برنامه های معتبر بسته بندی شده است که پس از نصب ، خود را با عنوان Apple CrashReporter یا Google Software Update بسته بندی می کند.

علاوه بر رمزگذاری پرونده های قربانی ، EvilQuest همچنین دارای امکاناتی برای اطمینان از پایداری ، ورود به کلید ، ورود به سیستم ، ایجاد یک پوسته معکوس و سرقت فایل های مربوط به کیف پول cryptocurrency است.

با این پیشرفت ، EvilQuest به تعداد کمی از سویه های باج افزار که به طور انحصاری از macOS ها ، از جمله KeRanger و Patcher جدا شده اند ، می پیوندد.

به نظر می رسد منبع این بدافزار نسخه های تروجان شده نرم افزار محبوب macOS – مانند Little Snitch ، یک نرم افزار DJ به نام Mixed In Key 8 و Ableton Live – است که در سایت های محبوب تورنت توزیع می شود.

توماس رید ، مدیر مک و موبایل در Malwarebytes گفت: “برای شروع ، نصاب مشروع Little Snitch از نظر زیبایی و حرفه ای بسته بندی شده است ، با یک نصب کننده سفارشی خوب که به طور صحیح کد امضا شده است.” “با این حال ، این نصب کننده یک بسته نصب ساده اپل با یک آیکون عمومی بود. بدتر اینکه ، بسته نصب کننده به طور بی معنی در یک فایل تصویری دیسک توزیع می شد.”

EvilQuest پس از نصب بر روی میزبان آلوده ، یک sandbox را برای شناسایی sleep-patch انجام می دهد و به منطق ضد اشکال زدایی مجهز شده است تا اطمینان حاصل شود که برنامه بدافزار تحت یک اشکال زدایی در حال اجرا نیست.

رید گفت: “برای بدافزارها این تأخیر شامل موارد تأخیر نیست.” “به عنوان مثال ، اولین باج افزار رایانه ای KeRanger شامل سه روز تأخیر بین آلوده شدن سیستم و شروع به رمزگذاری پرونده ها بود. با یک برنامه نصب شده سه روز قبل مرتبط است. ”

همچنین هرگونه نرم افزار امنیتی (مانند Kaspersky ، Norton ، Avast ، DrWeb ، McAfee ، Bitdefender و Bullguard) را که ممکن است چنین رفتارهای مخرب را روی سیستم تشخیص داده یا مسدود کند ، از بین می برد و با استفاده از پرونده های عامل راه اندازی و لیست های لیست دارایی Daemon ، ایستادگی می کند (و com.apple.questd.plist “) برای شروع مجدد بدافزار بطور خودکار هر بار که کاربر وارد سیستم میشود.

در آخرین مرحله ، EvilQuest نسخه ای از خود را راه اندازی می کند و شروع به رمزگذاری پرونده ها – شمارش کیف پول cryptocurrency (“wallet.pdf”) و پرونده های مربوط به keychain می کند – قبل از اینکه در نهایت دستورالعمل های باج برای نمایش ۵۰ دلار در ۷۲ ساعت پرداخت شود یا خطر قفل شدن پرونده ها را حذف کند.

اما ویژگی های EvilQuest فراتر از باج افزار معمولی است ، از جمله امکان برقراری ارتباط با سرور فرمان و کنترل (“andrewka6.pythonanywhere.com”) برای اجرای دستورات از راه دور ، شروع keylogger ، ایجاد یک پوسته معکوس و حتی اجرای بارهای مخرب به طور مستقیم خارج از حافظه.

واردل گفت: “مسلح با این قابلیت ها ، مهاجم می تواند کنترل کامل بر روی یک میزبان آلوده را حفظ کند.”

در حالی که کار برای یافتن یک ضعف در الگوریتم رمزگذاری برای ایجاد رمزگشایی در نظر گرفته شده است ، توصیه می شود کاربران macOS برای جلوگیری از از دست رفتن داده ها ، بکاپ تهیه کنند و از ابزاری مانند RansomWhere استفاده کنند.

رید نتیجه گرفت: “بهترین راه برای جلوگیری از پیامدهای باج افزار این است که مجموعه خوبی از نسخه پشتیبان تهیه کنید.” “حداقل دو نسخه پشتیبان از کلیه داده های مهم را نگه دارید ، و حداقل یک بار نباید در مک خود نگه داشته شود.”

  • دانلود کتاب Incide the Dark Web

دانلود کتاب Incide the Dark Web

دانلود کتاب Incide the Dark Web کتاب Incide the Dark web راهنمایی جامع برای یادگیری اصول ورود و استفاده از شبکه Dark Web میپردازد . در واقع Dark Web به شبکه ای گفته [...]

دانلود کتاب Distributed Denial of Service Attacks

دانلود کتاب Distributed Denial of Service Attacks حملات DOS یا  Distributed Denial of Service Attacks یکی از خطرناکترین نوع حملات میباشند . این حمله با ارسال ترافیک زیاد به سمت مقصد باعث از [...]

  • windows-update-download

ماکروسافت به روزرسانی های امنیتی اضطراری را برای ویندوز ۸.۱ و سرور ۲۰۱۲ R2 منتشر کرد

ماکروسافت به روزرسانی های امنیتی اضطراری را برای ویندوز ۸.۱ و سرور ۲۰۱۲ R2 منتشر کرد ماکروسافت بروزرسانی ای برای دو آسیب پذیری امنیتی جدید در سیستم عامل های ویندوز ۸.۱ ، ویندوز [...]