Programul ransomware, cunoscut sub numele de ThiefQuest sau EvilQuest, are, de asemenea, funcții de spionaj, care îi permit să fure parolele și datele cardurilor de credit.
Amenințarea noului tip de ransomware poate părea inevitabilă, dar nu au existat prea multe tipuri de viruși special adaptați pentru a infecta computerele Mac. Primul program malware pentru computerele Mac a apărut în anul 2016. Un moment semnificativ a fost acela în care Dinesh Devadoss, un cercetător malware din cadrul firmei K7 Lab, a publicat constatările sale, despre un nou exemplu de ransomware Mac. Totuși, se pare că ransomware-ul, pe care cercetătorii îl numesc acum ThiefQuest, devine mai interesant. Cercetătorii l-au numit inițial EvilQuest, până când au descoperit seria jocurilor ,,Steam”, cu același nume.
În plus față de alte programe ransomware, ThiefQuest are un alt set de funcții de spionaj, care îi permit să extragă fișiere dintr-un computer infectat, să caute parolele în sistem, datele criptate ale portofelului de criptomonede și să ruleze un program, cu ajutorul căruia se pot vizualiza toate caracterele care sunt introduse de către un dispozitiv, denumit ,,keylogger” pentru a prelua parolele, datele cardurilor sau alte informațiile financiare pe care le introduce un utilizator.
Privind codul, dacă facem o comparație în ceea ce privește logica malware-ului cu toate celelalte programe ,,backdoor”, pe care le poți accesa de la distanță, acestea sunt diferite și funcționează separat unul față de altul. ,,Dar, ce se poate întâmpla dacă unim aceste funcții?”, se întreabă Patrick Wardle, cercetătorul principal al departamentul de securitate din cadrul firmei de management Mac Jamf. ,,Părerea mea este că, cineva a conceput un malware pentru Mac, care îi oferă capacitatea de a controla de la distanță un sistem infectat. De asemenea, au adăugat și o anumită capacitate de ransomware, ca o modalitate de a câștiga bani în plus”.
Deși ThiefQuest conține funcții amenințătoare, este puțin probabil să viruseze sistemele Mac, cu excepția cazului în care sunt descărcate software-uri criptate de pe internet. Thomas Reed, directorul de securitate al sistemelor de operare Mac și al platformelor mobile din cadrul firmei de securitate Malwarebytes, a descoperit că ThiefQuest este distribuit pe site-urile de torrente, având numele unor firme de software, precum aplicația de securitate „Little Snitch”, software-ul „DJ Mixed In Key” și platforma de producție muzicală, „Ableton”. Devadoss, din cadrul companiei de securitate cibernetică K7, notează că malware-ul în sine este proiectat să arate ca un „program de actualizare a software-ului din partea companiei Google”. Până acum, însă, cercetătorii spun că nu pare să aibă un număr semnificativ de descărcări și nimeni nu a plătit răscumpărarea datelor cu Bitcoin, pe care o cer atacatorii.
Pentru ca Mac-ul dumneavoastră să se infecteze, va trebui să piratați software-ul, să-l rulați și apoi să respingeți o serie de avertismente de la Apple, pentru a-l putea deschide. Acest lucru ne reamintește că trebuie să utilizăm un software din surse de încredere, cum ar fi cel al căror cod este „semnat” de Apple, pentru a se legitima, sau din App Store-ul Apple, în sine. Dar, dacă de obicei utilizați site-urile de torrente și ignorați avertizările de la Apple, ThiefQuest vă arată ce riscuri pot apărea atunci când folosiți un program fără licență.
Apple a refuzat să comenteze legat de acest ransomware.
Deși ThiefQuest are o gamă largă de funcții datorată contopirii ransomware-ului cu funcțiile de spionaj, nu este clar cum se va termina, deoarece componenta ransomware pare incompletă. Programul malware arată o variantă de răscumpărare a informațiilor criptate, listând doar o adresă statică Bitcoin, unde victimele pot trimite bani. Având în vedere caracteristicile anonimității Bitcoin, atacatorii, care intenționau să decripteze sistemele unei victime la primirea plății, nu ar avea cum să identifice persoanele care au realizat sau nu plata. În plus, răscumpărarea nu listează o adresă de e-mail pe care victimele o pot folosi pentru a contacta atacatorii cu privire la primirea unei chei de decriptare, acesta fiind un alt semn că malware-ul nu pare a fi destinat ca ransomware. De asemenea, Jamle’s Wardle a constatat în analiza sa că, deși malware are toate componentele de care ar avea nevoie pentru a decripta fișierele, acestea nu par să fie configurate să funcționeze astfel.
Totodată, cercetătorii subliniază că atacatorii care doresc să folosească programele de spionaj, de obicei, doresc ca programele să fie cât mai discrete și obscure. Făcând o combinație cu ransomware, acesta anunță, pur și simplu, prezența malware-ului, modificând modul în care se realizează accesul utilizatorilor, deoarece toate fișierele lor sunt criptate și văd doar o notă de răscumpărare pe ecran. În același timp, ransomware-ul persistă pe dispozitiv și-l obligă să repornească încontinuu, deoarece, pur și simplu, trebuie să inițieze procesul de criptare. Când un program se anunță ca fiind malware și persistă, cel mai probabil se întâmplă ca firmele de securitate să analizeze software-ul pentru a-l bloca în viitor.
„Dacă obiectivul tău principal este extragerea datelor, ai vrea să rămâi în fundal, să faci asta cât mai silențios, sperând că nu vei fi detectat”, spune Reed Malwarebytes. ,,Nu înțeleg, cu adevărat, rostul acestui ransomware foarte zgomotos. Când l-am instalat pentru testare, la fiecare 30 de secunde computerul țiuia tot timpul. Este foarte zgomotos atât în sensul literal, cât și în cel digital.”
Programul malware include unele funcții, care îl pot ajuta să se ascundă. Acesta nu va rula dacă detectează anumite programe de securitate precum Norton Antivirus. De asemenea, activitatea acestuia este redusă dacă este deschis într-un mediu digital care este adesea folosit pentru testarea securității, cum ar fi un sandbox sau o mașină virtuală. În momentul analizei codului de către cercetători, aceștia spun că ,,unele componente au fost ascunse cu atenție, astfel încât ar fi dificil să înțelegem ce fac”. Ciudat, totuși, că unele informații au fost lăsate la vedere.
Având în vedere că malware-ul este distribuit prin intermediul torrentelor, pare să se concentreze pe furtul banilor, deoarece manifestă anumite erori. Cercetătorii consideră că software rău intenționat este, probabil, creat de hackerii criminali, mai degrabă decât de spionii statelor naționale.
Nu foarte frecvent se întâmplă ca un malware pentru Windows să ofere o interpretare ransomware. Malware-ul NotPetya, care a provocat cel mai de mare efect și cel mai costisitor atac cibernetic din istorie, s-a prefăcut a fi un ransomware. Totuși, având în vedere cât de rar este ransomware-ul în cazul sistemului de operare Mac, este surprinzător să vezi că ThiefQuest adoptă o abordare atât de neclară.
Poate că programul malware folosește criptarea fișierului distinctiv al ransomware-ului ca instrument distructiv, în încercarea de a bloca permanent utilizatorii. Sau, poate căuta doar să obțină cât mai mulți bani de la victime. Întrebarea reală cu privire la ransomware-ul Mac, este, ca întotdeauna, ce va urma?
