继4年前第一只Mac版勒索软件现身后,研究人员近日又发现一只macOS版勒索软件冒充多种合法软件,包括Google更新软件、安全工具及DJ软件在网络流传,除了加密文件外,还具有键盘监听及创建C&C连接,而且付了钱也可能救不回文件。
这只勒索程序是由安全厂商Malwarebytes K7 Labs实验室研究人员Dinesh Devadoss发现。它首先出现在俄罗斯盗版网站连接分享论坛供人下载。EvilQuest名称原是来自一款合法游戏,因此Malwarebytes研究人员也将之命名为OSX.ThiefQuest。
EvilQuest/ThiefQuest会冒充合法软件的安装器(installer)吸引用户下载,例如Devadoss发现它冒充Google Software Update软件,但其他研究人员发现它还伪装的对象还包括Mac版防火墙Little Snitch及DJ软件Mixed in Key、编曲工具Ableton等等。但是不论用户下载了什么,EvilQuest进入计算机会显示DMG档且没有一个自有的图标,会让MacOS发出警示。
Malwarebytes行动及Mac平台总监Thomas Reed指出,EvilQuest/ThiefQuest是相隔4年之后,又再一次出现的macOS版勒索软件。和第一只Mac版勒索软件KeRanger一样,EvilQuest也具备延迟加密的特征,会在感染后几天才加密文件,以避免被安全软件侦查。
EvilQuest是随机挑战文件加密,但是由于撰写的瑕疵,加密过程会造成macOS的Dock被重设、Finder冻住或密码钥匙圈(Keychain)也被加密。不过一旦它加密完成,受害文件名会加入BEBABEDD的文件扩展名,并显示勒索50美元的消息。
而且它的能力不只有加密文件。EvilQuest还会下载键盘监听软件窃取用户密码,而且能打开反向shell(reverse shell)和外部C&C服务器创建连接,以下载其他恶意程序及指令。研究人员并发现,EvilQuest的作者赋给它执行于VM、关闭调试工具(debugger),以及侦测Little Snitch或杀毒软件(像是卡巴斯基、Norton、Avast、McAfee、Bitdefender、Bullguard等)的能力,以增加侦测的难度。
常年从事Mac恶意软件分析的Principle Security研究人员Patrick Wardle指出,拥有这些能力,将使黑客取得受感染计算机的完整控制权,未来仍可能持续访问计算机、窃取文件及密码。
研究人员并指出,EvilQuest要求静态比特币地址,没有电子邮件信箱,因此黑客无法确知是谁付款,受害者也无从联系黑客,因此即使用户付款,也不见得能回复文件。因此最保险的做法是重要文件都应该至少有2份备份,且存在不同计算机上。