Xuất hiện Mã độc Ransomware mới trên MacOS: “EvilQuest”

Mã độc ransomware mới tấn công người dùng macOS

Gần đây, các nhà nghiên cứu an ninh mạng đã phát hiện thêm một mã độc tống tiền mới lây nhiễm qua các ứng dụng lậu và nhắm mục tiêu vào người dùng macOS.

Theo một số báo cáo độc lập của các nhà nghiên cứu phần mềm độc hại từ K7 Lab, Dinesh Devadoss, Patrick WardleMalwarebytes, thì mã độc ransomware có tên là “EvilQuest” này được đóng gói cùng với các ứng dụng hợp pháp. Và khi cài đặt, nó sẽ ngụy trang thành phần mềm CrashReporter của Apple hoặc Google Software Update để tránh bị phát hiện.

Bên cạnh việc mã hóa các file của nạn nhân, EvilQuest còn thực thi các hình thức tấn công nguy hiểm khác như theo dõi bàn phím nạn nhân, tạo ra một reverse shell, và đánh cắp các file liên quan đến ví tiền điện tử.

Sự phát triển EvilQuest đã làm dài thêm danh sách các mã độc ransomware chuyên nhắm mục tiêu tấn công vào hệ điều hành macOS như KeRanger hay Patcher.

Dường như mã độc này có nguồn gốc từ các phiên bản trojan hóa của các phần mềm phổ biến có trên hệ điều hành macOS và được phân phối trên các trang web torrent như phần mềm Little Snitch, DJ Mixed In Key 8, và Ableton Live.

“Có thể thấy, Little Snitch installer hợp pháp được đóng gói một cách chuyên nghiệp, với chế độ cài đặt custom installer được thiết lập đúng cách và được code signing đảm bảo an toàn. Còn installer giả mạo này thì được đóng gói một cách khá đơn giản với một icon chung không có gì đặc biệt. Tệ hơn là installer package này được phân phối một cách vô nghĩa bên trong một tệp ảnh đĩa,” Thomas Reed, giám đốc phụ trách các sản phẩm điện thoại và Mac tại Malwarebytes cho biết. 

macos ransomware

Sau khi được cài đặt trên máy chủ bị lây nhiễm, mã độc EvilQuest sẽ thực hiện kiểm tra xem liệu sandbox có đang ở chế độ sleep-patching hay không. Mã độc này sau đó sẽ không thực hiện các hành vi tấn công ngay mà nó sẽ được lập trình để “ngủ” và giả mạo là một file “lành tính” nhằm chờ đợi sandbox thả nó vào môi trường của người dùng mục tiêu. Điều này sẽ giúp nó không bị phát hiện và bị tiêu diệt bởi một công cụ debugger.

“Việc mã độc trì hoãn tấn công để che mắt các công nghệ bảo mật không phải điều gì quá mới lạ. Lấy ví dụ KeRanger chẳng hạn, nó là mã độc ransomware đầu tiên từng tấn công vào máy Mac và phải đến ba ngày sau khi xâm nhập hệ điều hành này thì nó mới bắt đầu thực hiện mã hóa file. Điều này sẽ giúp nó che giấu được nguồn gốc của mình, bởi lẽ, các hành vi độc hại sẽ không ngay lập tức liên kết với một chương trình được cài đặt vào ba ngày trước đó,” Reed nói.

Mã độc này cũng sẽ loại bỏ bất kỳ phần mềm bảo mật nào phát hiện hoặc chặn các hành vi tấn công độc hại của nó trên hệ thống (ví dụ: Kaspersky, Norton, Avast, DrWeb, McAfee, Bitdefender và Bullguard). Đồng thời, nó duy trì sự xâm nhập của mình bằng cách sử dụng các property list của launch agentlaunch daemon (“com.apple.questd.plist”) để tự động khởi động lại mã độc mỗi khi người dùng đăng nhập.

Ở giai đoạn cuối của cuộc tấn công, EvilQuest sẽ khởi chạy một bản sao của chính nó và bắt đầu mã hóa các file liên quan đến ví tiền điện tử (“wallet.pdf”) và keychain (chuỗi khóa). Cuối cùng, nó sẽ hiển thị các hướng dẫn để bắt người dùng trả $50 tiền chuộc file trong vòng 72 giờ hoặc không trả và khiến các file này có nguy cơ bị khóa.

Tuy nhiên, EvilQuest có những tính năng vượt trội hơn so với các mã độc ransomware thông thường. Nó có khả năng giao tiếp với một command-and-control server (“andrewka6.pythonanywhere.com”) để thực thi các lệnh từ xa, khởi tạo keylogger, tạo reverse shell, và thậm chí thực thi một payload độc hại trực tiếp trên bộ nhớ.

“Kẻ tấn công hoàn toàn có thể duy trì toàn quyền kiểm soát một máy chủ bị lây nhiễm nếu có được những tính năng đặc biệt này,” Wardle cho biết.

Mặc dù giải pháp cho vấn đề này là tìm ra điểm yếu trong thuật toán mã hóa của kẻ tấn công để có thể tạo ra một công cụ giải mã. Nhưng bên cạnh đó người dùng macOS cũng có thể tạo các bản sao lưu để tránh mất dữ liệu và sử dụng các tiện ích như RansomWhere? để ngăn chặn các cuộc tấn công tương tự xảy ra.

“Cách tốt nhất để tránh bị ảnh hưởng từ các ransomware này là duy trì một bộ sao lưu tốt. Người dùng nên giữ ít nhất hai bản sao lưu của tất cả các dữ liệu quan trọng và ít nhất một bản sao nên được lưu trữ ở nơi khác ngoài máy Mac,” Reed kết luận.

Theo The Hacker News