در هفته گذشته محققان باج‌افزار جدیدی کشف کردند که از طریق برنامه های عرضه شده در فروشگاه های غیر رسمی انتشار می‌یابد.

به گزارش تیم تحقیقاتی لابراتوار K7 این باج‌افزار با نام EvilQuest، به همراه برنامه های اصلی دانلود شده و با عنوان برنامه گزارش توقف یا اپلیکیشن بروزرسانی گوگل خود را مخفی می‌کند.

این باج‌افزار علاوه بر اینکه فایل‌های کاربر را رمزنگاری می‌کند، به قابلیت‌هایی برای حفظ و تداوم حضور در سیستم قربانی، ضبط حرکات کیبورد، ایجاد یک کامند شل معکوس و سرقت فایلهای مرتبط با کیف پول ارز دیجیتالی هم مجهز است.

EvilQuest توانست به لیت باج‌افزارهایی که تنها سیستم عامل مک را هدف قرار می‌دهند اضافه شود. دو نام دیگر این لیست KeRanger و Patcher هستند.

چنین به نظر می‌رسد که منبع اصلی این بدافزار، نسخه‌ تروجان اپلیکیشن‌های حقیقی و محبوب مک (مثل Little Snitch، a DJ software و Abelton live) می‌باشد که از طریق وب‌سایت‌های محبوب دانلود تورنت منتشر می‌شود.

برای مثال در مورد برنامه Little Snitch، هکر یک اپلیکیشن نصب برنامه دست ساز ایجاد کرده که در آن نام Thomas Reed مدیر اجرایی سیستم عامل مک نیز جای داده شده تا جای هیچ گونه شکی برای کاربر باقی نماند.

به محض اینکه بدافزار بر روی سیستم قربانی نصب شد، بررسی سندباکس توسط EvilQuest انجام می‌گیرد. این بدافزار به یک ضد دیباگر نیز مجهز است.

به گفته مدیر عامل سیستم عامل مک، بدافزارهای استفاده شده علیه سیستم عامل مک، معمولا به سیستم تاخیری مجهز نیستند. برای مثال در باج افزار Keranger، اولین باج‌افزار پیاده شده علیه مک، برنامه تا ۳ روز هیچ فعالیت مخربی از خود نشان نمی‌دهد، اما بعد از اتمام این مدت رمزنگاری فایل‌ها را آغاز می‌کند. با این روش احتمال اینکه کاربر بلافاصله متوجه ایراد کار شود کم خواهد شد، چرا که بلافاصله به برنامه‌ای که سه روز پیش نصب کرده، شک نخواهد کرد.

علاوه بر موارد ذکر شده، این بدافزار هرگونه برنامه امنیتی (مثل Kaspersky، Norton، Avast، DrWeb، BitDefender و McAfee) که توانایی تشخیص فعالیت مخرب در سیستم را دارند، از کار می‌اندازد. سپس با اجرای فایل com.apple.questd.plist (پسوندی که برای ذخیره سازی تنظیمات کاربر در مک استفاده می‌شود) که با ورود کاربر به حساب خود، برنامه هم ریستارت می شود.

در مرحله پایانی، این بدافزار یک نسخه از خود ایجاد می‌کند و به جمع‌آوری اطلاعات (از قبیل فایل‌های کیف پول رمز ارز) می‌پردازد در نهایت متن پیام باج‌افزار به کاربر نمایش داده می‌شود که از او خواسته شده در ازای فایل‌های خود ۵۰ دلار را ظرف مدت ۷۲ ساعت پرداخت کند.

قابلت‌های این باج‌افزار بسیار بیشتر از باج‌افزارهای متداول است و امکان برقراری ارتباط با سرور فرماندهی و کنترل هکر (با آدرس “andrewka6.pythonanywhere.com” ) را نیز دارد. با اتصال به این سرور امکان اجرای کد از راه دور، فعال‌سازی کی‌لاگر، ایجاد کامند شل معکوس و حتی بارگذاری مستقیم ویروس، نیز برای هکر فراهم می‌شود.

به گفته تیم تحقیقاتی، با توجه به قابلیت‌های گفته شده، مهاجم می‌تواند به سیستم قربانی دسترسی کامل داشته باشد.

در حال حاضر محققان به دنبال پیدا کردن روش رمزگشایی الگوریتم‌ استفاده شده در این باج‌افزار هستند اما توصیه می‌کنیم تا به نتیجه رسیدن این تحقیقات اپلیکیشن‌های خود را از منابع مطمئن و قانونی دانلود کنید.

بهترین راه برای مقابله با باج‌افزار، پشتیبان گیری از فایل‌ها می‌باشد. علاوه بر این بهتر است فایل‌های پشتیبان خود را بر روی همان سیستم ذخیره نکنید.

نظرات

نظر (به‌وسیله فیس‌بوک)