Недоделанный шифровальщик шпионит за пользователями макбуков
Новый вредонос EvilQuest (также известный как ThiefQuest) атакует пользователей компьютеров Apple. Помимо широкой шпионской функциональности, он также может выступать как шифровальщик или вайпер.
Злоключения вора
Пользователи macOS оказались под угрозой со стороны нового многофункционального вредоноса, получившего названия EvilQuest и ThiefQuest. Это один из довольно немногочисленных шифровальщиков, который, в отличие от многих других подобных программ, укомплектован шпионскими функциями, в том числе кейлоггером, средствами вывода данных и поиска паролей и криптокошельков. Вдобавок вредонос устанавливает в атакованную систему обратный шелл, что позволяет удалённо ставить заражённую систему под полный контроль злоумышленников.
EvilQuest выдаёт себя за программу для обновления разработок Google в системе. Программа снабжена множеством функций для противодействия попыткам анализа — перед запуском она проверяет, не находится ли она в виртуальной машине или в иной изолированной среде («песочнице»). Кроме того, ThiefQuest проверяет присутствие в системе популярных антивирусов (Kaspersky, Norton, Avast, DrWeb, Mcaffee, Bitdefender, Bullguard).
Интересно, что помимо мнимых обновлений программ Google, вредонос распространяется вместе с пиратскими программами под macOS, опубликованными на торрентах, в том числе, русскоязычных. Известно о заражённых копиях пакета для киберзашиты LittleSnitch, а также музыкального ПО Mixed In Keys и Ableton.
По данным ZDNet, шифрованию подвергаются файлы следующих расширений: .pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat.
Плюс к этому, ThiefQuest пытается зачем-то модифицировать файлы GoogleSoftwareUpdate. Вероятно, ради того, чтобы обеспечить себе постоянное присутствие в системе.
Недоработка вредоноса
Эксперт по кибербезопасности Патрик Уордл (Patrick Wardle), исследовавший ThiefQuest, полагает, что первичное назначение вредоноса было сугубо шпионским, но затем к нему «прикрутили» и функции шифровальщика, чтобы увеличить потенциальный заработок. Функции шифровальщика выглядят недоработанными: в сообщении с требованием выкупа указан адрес кошелька Bitcoin, но при этом у злоумышленников, похоже, нет никаких средств определить, кто заплатил, а кто нет, и кому высылать ключ дешифровки — если такая функция вообще предусмотрена. Злоумышленники также не оставляют контактной информации. По словам Уордла, все функции для дешифровки во вредоносе присутствуют, но, похоже, их работоспособность и не предполагалась.
«Далеко не все вредоносы, ведущие себя как шифровальщики-вымогатели, действительно являются таковыми, в том смысле, что не все предполагают возможность предоставления ключа расшифровки, — указывает Алексей Водясов, эксперт по информационной безопасности компании SECConsultServices. — Впрочем, в данном случае речь скорее о недоработанных функциях, что может подразумевать продолжающуюся активную разработку вредоноса, а нынешние случаи заражений являются не более чем полевым тестированием. Обилие функций может также указывать на планы его создателей распространять его по RaaS-модели в качестве универсального средства извлечения преступной прибыли».