Ransomware mới nhắm mục tiêu người dùng Apple macOS

Ransomware mới nhắm mục tiêu người dùng Apple macOS

July 2, 2020 | vietsunshine

Các nhà nghiên cứu an ninh mạng trong tuần này đã phát hiện ra một loại ransomware mới nhắm vào người dùng macOS lây lan qua các ứng dụng lậu (pirated apps).

Theo một số báo cáo độc lập từ các nhà nghiên cứu phần mềm độc hại của K7 Lab là Dinesh Devadoss, Patrick WardleMalwarebytes, biến thể ransomware – được đặt tên là “EvilQuest” – được đóng gói cùng với các ứng dụng hợp pháp, khi cài đặt, ngụy trang thành CrashReporter hoặc Google Software Update.

Bên cạnh việc mã hóa các tệp của nạn nhân, EvilQuest còn đi kèm với các khả năng để đảm bảo tính bền bỉ, log keystrokes, tạo reverse shell và đánh cắp các tệp liên quan đến ví tiền điện tử.

Nguồn gốc của phần mềm độc hại dường như là các phiên bản trojan hóa của phần mềm macOS phổ biến – chẳng hạn như Little Snitch, phần mềm DJ có tên là Mixed In Key 8, Ableton Live – được phân phối trên các trang web torrent phổ biến.

“Để bắt đầu, trình cài đặt Little Snitch hợp pháp được đóng gói hấp dẫn và chuyên nghiệp, với trình cài đặt tùy chỉnh được làm tốt, được ký đúng mã,” Thomas Reed, giám đốc Mac và di động tại Malwarebytes, cho biết.

Ransomware mới nhắm mục tiêu người dùng Apple macOS_1

Sau khi được cài đặt trên máy chủ bị nhiễm, EvilQuest thực hiện kiểm tra hộp cát để phát hiện sleep-patching và được trang bị anti-debugging logic để đảm bảo chương trình phần mềm độc hại bị chạy với trình gỡ lỗi.

“Không có gì bất thường khi phần mềm độc hại bao gồm sự delay”, Reed nói. “Ví dụ, phần mềm ransomware Mac đầu tiên, KeRanger, bao gồm thời gian trì hoãn ba ngày giữa khi nó lây nhiễm hệ thống và khi nó bắt đầu mã hóa các tệp. Điều này giúp ngụy trang nguồn phần mềm độc hại, vì hành vi độc hại có thể không được liên kết ngay lập tức với chương trình được cài đặt ba ngày trước đó.”

Ransomware mới nhắm mục tiêu người dùng Apple macOS_2

Nó cũng kill bất kỳ phần mềm bảo mật nào (ví dụ: Kaspersky, Norton, Avast, DrWeb, McAfee, Bitdefender và Bullguard) có thể phát hiện hoặc chặn hành vi độc hại đó trên hệ thống và thiết lập sự kiên trì bằng cách sử dụng các tệp danh sách thuộc tính khởi động (“com.apple.questd.plist”) để tự động khởi động lại phần mềm độc hại mỗi khi người dùng đăng nhập.

Trong giai đoạn cuối, EvilQuest ra mắt một bản sao của chính nó và bắt đầu mã hóa các tệp – trước khi hiển thị các hướng dẫn tiền chuộc để trả 50 đô la trong vòng 72 giờ hoặc có nguy cơ khiến các tệp bị khóa.

Nhưng các tính năng của EvilQuest vượt xa phần mềm ransomware thông thường, bao gồm khả năng giao tiếp với máy chủ chỉ huy và kiểm soát (“andrewka6.pythonanywhere.com”) để thực thi các lệnh từ xa, khởi tạo keylogger, tạo reverse shell và thậm chí thực hiện tải trọng độc hại trực tiếp hết bộ nhớ.

“Được trang bị những khả năng này, kẻ tấn công có thể duy trì toàn quyền kiểm soát một máy chủ bị nhiễm bệnh”, Wardle nói.

Người dùng macOS có nên tạo bản sao lưu để tránh mất dữ liệu và sử dụng tiện ích như RansomWhere? để ngăn chặn các cuộc tấn công như vậy.

“Cách tốt nhất để tránh hậu quả của ransomware là duy trì một bộ sao lưu tốt,” Reed kết luận. “Giữ ít nhất hai bản sao lưu của tất cả các dữ liệu quan trọng và ít nhất một bản sao không nên được gắn vào máy Mac của bạn mọi lúc.”

Nguồn: A New Ransomware Targeting Apple macOS Users Through Pirated Apps

Xem thêm: Các tính năng bảo mật mới sẽ được thêm vào iOS 14 và macOS Big Sur

Tags: , ,