|
网络安全研究人员本周发现了一种针对macOS用户的新型勒索软件,它通过盗版应用程序进行传播。 根据K7实验室恶意软件研究人员Dinesh Devadoss,Patrick Wardle和Malwarebytes的几份独立报告,被称为“ EvilQuest ” 的勒索软件变种与合法应用程序打包在一起,安装后会伪装成Apple的CrashReporter或Google软件更新。 除了加密受害者的文件外,EvilQuest还具有确保持久性,记录击键,创建反向外壳以及窃取与加密货币钱包相关的文件的功能。 随着这一发展,EvilQuest加入了少数勒索软件,其中包括KeRanger和Patcher。 该恶意软件的来源似乎是流行的macOS软件的木马版本,例如分发在流行的洪流站点上的Little Snitch(一种叫做Mixed In Key 8的DJ软件)和Ableton Live。 “首先,合法的Little Snitch安装程序将经过精美且专业的包装,并带有经过适当代码签名的精心制作的自定义安装程序,” Malwarebytes的Mac和移动设备主管Thomas Reed说。“但是,此安装程序是一个带有通用图标的简单Apple安装程序包。更糟糕的是,该安装程序包毫无意义地分布在磁盘映像文件中。” 一旦安装到受感染的主机上,EvilQuest便会进行沙盒检查以检测sleep-patchin g,并配备了反调试逻辑,以确保恶意软件程序不在调试器下运行。 里德说:“恶意软件包含延迟的情况并不少见。” “例如,第一个Mac勒索软件KeRanger在感染系统到开始加密文件之间包含了三天的延迟。这有助于掩盖恶意软件的来源,因为恶意行为可能不会立即发生。与三天前安装的程序相关联。” 它还会杀死可能检测或阻止系统上此类恶意行为的任何安全软件(例如,Kaspersky,Norton,Avast,DrWeb,McAfee,Bitdefender和Bullguard),并使用启动代理和守护程序属性列表文件设置持久性(“ com.apple.questd.plist”),以便在用户每次登录时自动重新启动恶意软件。 在最后阶段,EvilQuest会启动自身副本并开始加密文件-计算加密货币钱包(“ wallet.pdf”)和与钥匙串相关的数字文件-在最终显示赎金指示之前,要在72小时内支付50美元,否则可能会导致文件被锁定。 但是EvilQuest的功能超越了典型的勒索软件,包括与命令和控制服务器(“ andrewka6.pythonanywhere.com”)进行通信以远程执行命令,启动键盘记录程序,创建反向Shell甚至直接执行恶意有效负载的能力。记不清。 Wardle说:“有了这些功能,攻击者就可以完全控制受感染的主机。” 在努力发现创建解密器的加密算法中存在弱点的同时,建议macOS用户创建备份以避免数据丢失,并使用RansomWhere之类的实用程序?阻止此类攻击。 避免勒索软件后果的最佳方法是维护一套良好的备份。至少保留所有重要数据的两个备份副本,始终将至少一个备份副本不保留在Mac上。 945个网站遭到黑客攻击,潜在受害者多达1400万,波及14个国家 |
|
|
