ايتنا - K7 بدافزاری جدید با هدف قرار دادن کاربران macOS اپل

K7 بدافزاری جدید با هدف قرار دادن کاربران macOS اپل

ایتنا - محققان امنیت سایبری نوع جدیدی از باج افزارها را بررسی کرده‌اند که کاربران ماکرو را هدف قرار داده است که از طریق برنامه‌های Pirated منتشر می‌شود.

براساس گزارشات به دست آمده از محققان بدافزار K7 همراه با برنامه‌های معتبر دیگری تهیه شده است که پس از نصب، خود را با عنوان Apple CrashReporter یا Google Software Update نمایش می‌دهد.

به گزارش ایتنا از پایگاه اطلاع رسانی پلیس فتا، این بدفزار پس از نصب علاوه بر رمزگذاری پرونده‌های قربانی، همچنین دارای امکاناتی مانند ثبت ورودها از طریق صفحه کلید، ورود به سیستم، ایجاد یک پوسته معکوس و سرقت فایل های مربوط به کیف پول است.

با این پیشرفت، EvilQuest به تعداد کمی از سویه‌های باج افزار که به طور انحصاری از macOSها، از جمله KeRanger و Patcher جدا شده‌اند، می‌پیوندد.

به نظر می‌رسد منبع این بدافزار نسخه‌های تروجان شده نرم افزارmacOS مانندLittle Snitch ، یک نرم افزار DJ به نام Mixed In Key 8 و Ableton Live است که در سایت‌های مورد نظر تورنت توزیع می‌شود.

کارشناسان معتقد هستند: این بدافزار در زمان شروع نصب به صورت زیبای و حرفه‌ای بسته بندی شده است و دارای یک نصب کننده سفارشی خوب است. با این حال، این نصب کننده یک بسته نصب ساده اپل با یک آیکون عمومی است. بدتر اینکه، بسته نصب کننده به طور عجیبی در یک فایل تصویری دیسک توزیع می‌شود.

EvilQuest پس از نصب بر روی میزبان آلوده، یک پروسه را که در حال انجام است شناسایی و به روشی عمل می‌کند تا این گونه به نظر برسد که برنامه در حال اجرا با مشکل مواجهه شده است.

کارشناسان نیز می‌گویند: به عنوان مثال، اولین باج افزار مک، KeRanger ، بین آلوده شدن سیستم و شروع به رمزگذاری پرونده‌ها سه روز طول کشید. این فاصله زمانی به پنهان کردن منبع بدافزار کمک می‌کند‌، زیرا ممکن است این رفتار بلافاصله مخرب نباشد و احتمال اینکه با با یک برنامه نصب شده سه روز قبل مرتبط باشد.

این بدافزار قادر است هرگونه نرم افزار امنیتی (مانند Kaspersky -Norton -Avast - DrWeb - McAfee - Bitdefender و (Bullguard را که ممکن است چنین رفتارهای مخرب را روی سیستم تشخیص داده یا مسدود کنند، از بین می‌برد و برای شروع مجدد تخریب سیستم قربانی، این بدافزار به طور خودکار هر بار که کاربر وارد سیستم شوید شروع به فعالیت می‌کند.

در آخرین مرحله، EvilQuest نسخه‌ای از خود را راه اندازی می‌کند و شروع به رمزگذاری پرونده‌ها، شمارش کیف پول و پرونده‌های مربوط به keychain می کند. در پایان در طول 72 ساعت درخواست پرداخت 50 دلار داده می‌شود تا پرونده سیستم قربانی را رمزگشایی کند.

اما ویژگی‌های EvilQuest فراتر از باج افزار معمولی است، از جمله امکان برقراری ارتباط با سرور فرمان و کنتر برای اجرای دستورات از راه دور، شروعkeylogger ، ایجاد یک پوسته معکوس و حتی اجرای بارهای مخرب به طور مستقیم خارج از حافظه در چنین حالتی و با داشتن این قابلیت‌ها، مهاجم می‌تواند کنترل کامل بر روی یک میزبان آلوده را حفظ کند.

در حالی که کار برای یافتن یک ضعف در الگوریتم رمزگذاری برای ایجاد رمزگشایی در نظر گرفته شده است، توصیه می شود کاربران macOS برای جلوگیری از از دست رفتن داده‌ها، نسخه پشتیبان تهیه کنند و برای خنثی کردن چنین حملات از ابزاری مانند RansomWhere استفاده کنند.

در پایان باید گفت: بهترین راه برای جلوگیری از پیامدهای باج افزار این است که مجموعه خوبی از نسخه پشتیبان تهیه کنید. حداقل دو نسخه پشتیبان از کلیه داده‌های مهم را نگه دارید.