پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

EvilQuest : یک باج افزار مک

تیتر مطالب

اخیرا باج افزار EvilQuest که هدف آن کاربران سیستم عامل های Mac است، شناسایی شده که از طریق نسخه های مختلف نرم افزارهای دزدی منتشر می شود.

این باج افزار توسط یک محقق امنیتی بنام  Dinesh Devadoss شناسایی شد و توانایی آن بالاتر از رمزگذاری عادی سایر باج افزارهاست! EvilQuest امکان استقرار یک Keylogger (برای ذخیره کردن اطلاعات تایپ شده در سیستم) و سرقت کیف پولهای رمزنگاری شده بر روی سیستم قربانی را دارد.
نمونه های این باج افزار در نرم افزارهای دزدی موجود در سایتهای اشتراک فایل BitTorrent مشاهده شده است. استفاده از این روش برای آلودگی سیستم ها در انواع دیگر بدافزارهای macOS نیز رایج است.
Devadoss یک نمونه از این باج افزار را در بسته به روز رسانی یکی از نرم افزارهای گوگل مشاهده نمود در حالیکه محقق دیگری نیز نمونه ای از EvilQuest را در یک نسخه کرک شده نرم افزار Mix In Key 8 یافته است.
نمونه آنالیز شده دیگری از این باج افزار توسط  Thomas Reed یکی از مدیران Mac و موبایل، در نسخه مخرب و کرک شده  Little Snitch دیده شده است. Little Snitch یک برنامه کاربردی فایروال برای macOS می باشد.
وقتی قربانی انواع آلوده از این نرم افزارها را دانلود می کند، یک فایل اجرایی بنام “Patch” در مسیر /Users/Shared/ نصب می شود. پس از کامل شدن فرآیند نصب یک کد اسکریپ Post-Install نیز دانلود می شود. باج افزار با استفاده از تابع eip_encrypt اقدام به رمزگذاری فایل های قربانی می کند. پس از کامل شدن رمزگذاری یک فایل متنی با عنوان  “READ_ME_NOW” ایجاد می شود که در آن پیغام درخواست باج نمایش داده می شود. نکته قابل توجه اینکه باج افزار برای جلب توجه قربانی  یک اعلان تبدیل متن به گفتار نیز نمایش می دهد که متن درخواست باج به صورت صوتی نیز برای کاربر خوانده می شود.

OSX.EvilQuest ransom alert 300x226
این باج افزار همچنین قابلیتهایی از جمله اجرای کد در حافظه، ضد آنالیز و ماندگاری را دارد.
باج افزار با فراخوانی تابع CGEventTapCreate امکان نظارت بر رویدادهایی مانند keystrokes را دارد و بدافزارها از این تابع برای رصد و ذخیره سازی موارد تایپ شده در سیستم استفاده می کنند. این باج افزار همچنین قابلیت شناسایی کیف پول های cryptocurrency را با دستوراتی برای شناسایی مواردی مثل wallet.png”, “key.png” و“*.p12 دارد. همچنین می تواند یک پوسته معکوس C2 به سرور باز نموده و از این طریق کنترل کامل سیستم میزبان را به دست بگیرد.

منبع :

https://threatpost.com/