Ny Mac-ransomware-spyware EvilQuest i naturen
Måndagen den 29 juni var Integos forskargrupp larmad om ny Mac-skadlig kod som sprids i naturen via BitTorrent. Vid första anblicken har det tydliga tecken på ransomware – skadlig kod som är utformad för att kryptera en användares filer och kräver en lösen för att återställa dem – men det visar sig vara mycket mer skändligt.
Skadlig kod, dubbad OSX / EvilQuest (också känd som OSX / ThiefQuest) och upptäcks av Intego VirusBarrier som OSX / EvilQuest (tidigare OSX / Ransomware), har några ganska intressanta egenskaper. Här är vad du behöver veta om detta senaste hot.
I den här artikeln:
Är detta skadliga program i naturen? Hur sprider den sig?
Malware EvilQuest kommer förklädd som ett installationsprogram för någon av olika Mac-applikationer, inklusive Google Software Update, Ableton, Little Snitch och Mixed In Key 8.
Tack för informationen! Har jobbat med det i morse … verkar det tappas av vissa installatörer som slår in laglig programvara som Little Snitch, Ableton och Mixed In Key. Det finns nog andra också.
– Thomas Reed (@thomasareed) 29 juni 2020
BitTorrent-magnetlänkar för att ladda ner dessa trojaniserade installatörer har observerats på RUTracker, en rysk forumwebbplats. Foruminlägget verkar vara daterat 9 juni, så den här skadliga programvaran kan ha blivit oupptäckt i ungefär tre veckor.
RUTracker-foruminlägg med BitTorrent-länk till Trojanized Little Snitch. Bild: Vass
Vad gör den nya skadliga programvaran? Hur är det unikt?
Även om det trojaniserade installationsprogrammet kan installera den avsedda programvaran, installerar den också skadlig kod i offrets system.
Bland annat krypterar skadlig kod användarens filer, varefter den visar en dialogruta som hävdar att användaren har tre dagar på sig att betala en lösen för 50 USD till en viss Bitcoin-adress. Tack och lov har ingen ännu betalat lösen – åtminstone inte till en Bitcoin-adress som har hittats associerad med den här skadliga kampanjen – när denna artikel publicerades.
Uppenbarligen hade ingen betalat lösen när den här artikeln publicerades. Bild: Intego
Det finns faktiskt lite av en vridning till ransomware vinkel, dock. Även om detta hittills har låtit som vanligt ransomware-beteende, tillhandahåller malware-tillverkarna faktiskt inte en e-postadress eller något annat sätt att kontakta dem, så det är oklart hur utpressarna skulle veta vem som betalade dem och därför hur man kan hjälpa det person dekryptera sina filer.
Med andra ord kan denna “ransomware” beskrivas bättre som en “wiper” – skadlig programvara som krypterar filer utan att ge något sätt att dekryptera dem, även om du ger efter för utpressarens krav. Det återstår att se om anti-malware-communityn kommer att kunna upptäcka ett sätt att dekryptera dokument som är krypterade av denna malware.
Det finns också ytterligare funktioner utöver kryptering av användarens dokument. EvilQuest ringer också hem till C2-servrar, kan logga ett offrets tangenttryckningar och det har dataexfiltreringsfunktioner – vilket innebär att det kan stjäla potentiellt intressanta filer från ett offrets dator och skicka dem till skadeprogrammet.
EvilQuest försöker också undvika upptäckt genom att bete sig annorlunda när de körs i en virtuell maskin eller när en felsökare körs – vanliga metoder för att göra det svårare för malwareanalytiker och automatiserade analysverktyg att identifiera och bedöma skadligt beteende.
Uppdatering: Efter att den här artikeln publicerades först kom det fram att EvilQuest också skadligt ändrar bakgrundsprogram för Google Software Update, vilket intressant gör EvilQuest till ett riktigt Mac-virus.
Med tanke på all denna funktionalitet är EvilQuest-skadlig programvara inte ”bara” ransomware. Det kan också beskrivas som en torkare, datastjälare, spionprogram, keylogger, evader, virus och en RAT.
Hur ska Mac-användare undvika att få den här skadliga programvaran?
Det är inte första gången som skadlig kod distribueras via BitTorrent, eller genom att förkläda sig som olagligt erhållna fullständiga eller ”knäckta” versioner av Mac-programvaran. Vi skrev 2017 om “Patcher” (OSX / filkodare) ransomware som sprids på samma sätt.
Senare samma år gjorde en Intego-bloggare sin egen undersökning av Mac-programvara som distribuerades via BitTorrent och fann att varje app han laddade ner flaggades av Intego VirusBarrier som innehåller skadlig kod:
Varför BitTorrent-webbplatser är en skadlig Cesspool
Kort sagt, det är helt enkelt inte en bra idé att ladda ner Mac-appar via BitTorrent. Det säkraste sättet att skaffa en app är via Mac App Store där det är möjligt, eller direkt från utvecklarens webbplats.
Hur kan skadlig programvara tas bort?
Intego VirusBarrier X9, ingår i Intego’s Mac Premium Bundle X9, kan upptäcka och eliminera detta skadliga program.
Kunder som kör VirusBarrier X8, X7 eller X6 på äldre versioner av Mac OS X är också skyddade. Det är bäst att uppgradera till den senaste versionen av macOS om möjligt för att säkerställa att din Mac får alla de senaste säkerhetsuppdateringarna från Apple.
Hur kan jag återställa mina filer som krypterats?
Skadlig programvara tillhandahåller ingen kontaktinformation, så att betala lösen skulle vara en enkelriktad transaktion; du skulle ge skurkarna dina pengar, men du skulle fortfarande inte kunna återställa dina krypterade filer. (När det är möjligt är det naturligtvis bäst att undvika att betala lösen, eftersom att ge pengar till brottslingar i slutändan ger dem motivation att fortsätta att offra andra.)
Tack och lov har samhället kommit ihop och omarbetat krypteringen. Det finns till och med ett gratis verktyg som kan användas för att dekryptera och återställa filer som har krypterats av EvilQuest-skadlig programvara.
Indikatorer på kompromiss
Några vägar som hittills har observerats från den här skadliga programkampanjen inkluderar följande:
/Library/LaunchDaemons/com.apple.questd.plist /Library/mixednkey/toolroomd /private/var/root/Library/.5tAxR3H3Y /private/var/root/Library/AppQuest/com.apple.questd /private/var/root/Library/LaunchAgents/com.apple.questd.plist ~/Library/.ak5t3o0X2 ~/Library/AppQuest/com.apple.questd ~/Library/LaunchAgents/com.apple.questd.plist Mixed In Key 8.dmg [if downloaded via BitTorrent]
Följande domän och IP-adress har observerats som direkt anslutna till den här skadliga programkampanjen:
andrewka6.pythonanywhere[.]com 167.71.237[.]219
Ny nätverkstrafik till eller från dessa adresser bör betraktas som ett möjligt tecken på en infektion.
Hur kan jag lära mig mer?
För mer tekniska analyser av detta skadliga program kan du hänvisa till Patrick Wardle (del 1 och del 2), Thomas Reed (del 1 och del 2), Lawrence Abrams och Phil Stokes publicerade forskning. WIRED-författaren Lily Hay Newman har också ytterligare täckning av den här historien.
Vi pratade om detta nya skadliga program i avsnitt 142 och kommer att följa upp avsnitt 143 av programmet Intego Mac Podcast– var noga med att prenumerera så att du inte missar några avsnitt. Du vill också prenumerera på vår e-post nyhetsbrev och håll ett öga här Mac-säkerhetsbloggen för de senaste Apples säkerhets- och sekretessnyheter.
Du kan också följa Intego på dina favorit- och mediekanaler: Facebook, Instagram, Twitter och YouTube (klicka på 🔔 för att få meddelande om nya videor).
Om Joshua Long
Joshua Long (@theJoshMeister), Integos Chief Security Analyst, är en känd säkerhetsforskare, författare och talare. Josh har en magisterexamen i IT-koncentration inom Internetsäkerhet och har tagit doktorsexamen i informationssäkerhet. Apple har offentligt erkänt Josh för att ha upptäckt en sårbarhet för Apple ID-autentisering. Josh har genomfört cybersäkerhetsforskning i mer än 20 år, som ofta har presenterats av stora nyhetsbutiker världen över. Leta efter fler av Joshs artiklar på security.thejoshmeister.com och följ honom på Twitter. Visa alla inlägg av Joshua Long → Det här inlägget postades i Malware och taggades BitTorrent, malware, ransomware. Bokmärk permalänken.