در هفته گذشته محققان باجافزار جدیدی کشف کردند که از طریق برنامه های عرضه شده در فروشگاه های غیر رسمی انتشار مییابد.
به گزارش تیم تحقیقاتی لابراتوار K7 این باجافزار با نام EvilQuest، به همراه برنامه های اصلی دانلود شده و با عنوان برنامه گزارش توقف یا اپلیکیشن بروزرسانی گوگل خود را مخفی میکند.
این باجافزار علاوه بر اینکه فایلهای کاربر را رمزنگاری میکند، به قابلیتهایی برای حفظ و تداوم حضور در سیستم قربانی، ضبط حرکات کیبورد، ایجاد یک کامند شل معکوس و سرقت فایلهای مرتبط با کیف پول ارز دیجیتالی هم مجهز است.
EvilQuest توانست به لیت باجافزارهایی که تنها سیستم عامل مک را هدف قرار میدهند اضافه شود. دو نام دیگر این لیست KeRanger و Patcher هستند.
چنین به نظر میرسد که منبع اصلی این بدافزار، نسخه تروجان اپلیکیشنهای حقیقی و محبوب مک (مثل Little Snitch، a DJ software و Abelton live) میباشد که از طریق وبسایتهای محبوب دانلود تورنت منتشر میشود.
برای مثال در مورد برنامه Little Snitch، هکر یک اپلیکیشن نصب برنامه دست ساز ایجاد کرده که در آن نام Thomas Reed مدیر اجرایی سیستم عامل مک نیز جای داده شده تا جای هیچ گونه شکی برای کاربر باقی نماند.
به محض اینکه بدافزار بر روی سیستم قربانی نصب شد، بررسی سندباکس توسط EvilQuest انجام میگیرد. این بدافزار به یک ضد دیباگر نیز مجهز است.
به گفته مدیر عامل سیستم عامل مک، بدافزارهای استفاده شده علیه سیستم عامل مک، معمولا به سیستم تاخیری مجهز نیستند. برای مثال در باج افزار Keranger، اولین باجافزار پیاده شده علیه مک، برنامه تا ۳ روز هیچ فعالیت مخربی از خود نشان نمیدهد، اما بعد از اتمام این مدت رمزنگاری فایلها را آغاز میکند. با این روش احتمال اینکه کاربر بلافاصله متوجه ایراد کار شود کم خواهد شد، چرا که بلافاصله به برنامهای که سه روز پیش نصب کرده، شک نخواهد کرد.
علاوه بر موارد ذکر شده، این بدافزار هرگونه برنامه امنیتی (مثل Kaspersky، Norton، Avast، DrWeb، BitDefender و McAfee) که توانایی تشخیص فعالیت مخرب در سیستم را دارند، از کار میاندازد. سپس با اجرای فایل com.apple.questd.plist (پسوندی که برای ذخیره سازی تنظیمات کاربر در مک استفاده میشود) که با ورود کاربر به حساب خود، برنامه هم ریستارت می شود.
در مرحله پایانی، این بدافزار یک نسخه از خود ایجاد میکند و به جمعآوری اطلاعات (از قبیل فایلهای کیف پول رمز ارز) میپردازد در نهایت متن پیام باجافزار به کاربر نمایش داده میشود که از او خواسته شده در ازای فایلهای خود ۵۰ دلار را ظرف مدت ۷۲ ساعت پرداخت کند.
قابلتهای این باجافزار بسیار بیشتر از باجافزارهای متداول است و امکان برقراری ارتباط با سرور فرماندهی و کنترل هکر (با آدرس “andrewka6.pythonanywhere.com” ) را نیز دارد. با اتصال به این سرور امکان اجرای کد از راه دور، فعالسازی کیلاگر، ایجاد کامند شل معکوس و حتی بارگذاری مستقیم ویروس، نیز برای هکر فراهم میشود.
به گفته تیم تحقیقاتی، با توجه به قابلیتهای گفته شده، مهاجم میتواند به سیستم قربانی دسترسی کامل داشته باشد.
در حال حاضر محققان به دنبال پیدا کردن روش رمزگشایی الگوریتم استفاده شده در این باجافزار هستند اما توصیه میکنیم تا به نتیجه رسیدن این تحقیقات اپلیکیشنهای خود را از منابع مطمئن و قانونی دانلود کنید.
بهترین راه برای مقابله با باجافزار، پشتیبان گیری از فایلها میباشد. علاوه بر این بهتر است فایلهای پشتیبان خود را بر روی همان سیستم ذخیره نکنید.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.