hack-haber

Apple macOS Kullanıcılarını korsan Uygulamalar Aracılığıyla Hedefleyen Yeni Bir Fidye Yazılımı

Siber güvenlik araştırmacıları bu hafta korsan uygulamalar yoluyla yayılan macOS kullanıcılarını hedefleyen yeni bir fidye yazılımı türü keşfetti.

K7 Lab kötü amaçlı yazılım araştırmacısı Dinesh Devadoss , Patrick Wardle ve Malwarebytes'in çeşitli bağımsız raporlarına göre, " EvilQuest " olarak adlandırılan fidye yazılımı varyantı , kurulumdan sonra kendisini Apple'ın CrashReporter veya Google Yazılım Güncellemesi olarak gizleyen meşru uygulamalarla birlikte paketlenmiştir.

Kurbanın dosyalarını şifrelemenin yanı sıra, EvilQuest ayrıca kalıcılığı sağlama, tuş vuruşlarını kaydetme, ters kabuk oluşturma ve kripto para birimi cüzdanıyla ilgili dosyaları çalma yetenekleriyle birlikte gelir.

Bu gelişme ile EvilQuest, KeRanger ve Patcher da dahil olmak üzere sadece macOS'u seçmiş olan bir avuç fidye yazılımı suşuna katılıyor .

Kötü amaçlı yazılımın kaynağı, popüler torrent sitelerinde dağıtılan Little Snitch, Mixed In Key 8 ve Ableton Live gibi bir DJ yazılımı gibi popüler macOS yazılımının trojanlaştırılmış sürümleri gibi görünüyor.

Malwarebytes Mac ve mobil direktörü Thomas Reed, "Başlangıç ​​olarak, meşru Little Snitch yükleyici, uygun şekilde imzalanmış iyi yapılmış bir özel yükleyici ile çekici ve profesyonel bir şekilde paketlenmiştir." Dedi. "Ancak, bu yükleyici genel bir simgeye sahip basit bir Apple yükleyici paketiydi. Daha da kötüsü, yükleyici paketi bir disk görüntü dosyasının içinde anlamsız bir şekilde dağıtıldı."

Etkilenen ana bilgisayara yüklendikten sonra EvilQuest, uyku düzeltme ekini algılamak için bir sanal alan denetimi yapar ve kötü amaçlı yazılım programının bir hata ayıklayıcı altında çalışmamasını sağlamak için hata ayıklama önleme mantığı ile birlikte gelir.

Reed, "Kötü amaçlı yazılımların gecikmeleri dahil etmesi alışılmadık bir durum değil." Dedi. "Örneğin, ilk Mac fidye yazılımı KeRanger, sisteme virüs bulaştığı zaman ile dosyaları şifrelemeye başladığı zaman arasında üç günlük bir gecikme içeriyordu. üç gün önce yüklenen bir programla ilişkili. "

Ayrıca, sistemdeki bu tür kötü niyetli davranışları algılayabilen veya engelleyebilen tüm güvenlik yazılımlarını (ör. Kaspersky, Norton, Avast, DrWeb, McAfee, Bitdefender ve Bullguard) öldürür ve launch agent ve daemon özellik listesi dosyalarını (" com.apple.questd.plist ") kullanıcı her oturum

açtığında kötü amaçlı yazılımı otomatik olarak yeniden başlatmak için. Son aşamada EvilQuest kendi kopyasını başlatır ve dosyaları şifrelemeye başlar - kripto para cüzdanı (" wallet.pdf ") ve anahtarlıkla ilgili dosyaları - nihayetinde 72 saat içinde 50 $ ödemek veya dosyaları kilitli bırakma riskiyle ilgili fidye talimatlarını görüntülemeden önce.

Ancak EvilQuest'in özellikleri, komutları uzaktan yürütmek, keylogger'ı başlatmak, ters kabuk oluşturmak ve hatta doğrudan kötü amaçlı bir yük oluşturmak için bir komut ve kontrol sunucusuyla ("andrewka6.pythonanywhere.com") iletişim kurma yeteneği de dahil olmak üzere tipik fidye yazılımlarının ötesine geçer. bellek yetersiz.

Wardle, "Bu yeteneklerle donatılmış saldırgan, virüs bulaşmış bir ana bilgisayar üzerinde tam kontrolü koruyabilir." Dedi.

Çalışma decryptor oluşturmak için şifreleme algoritması bir zayıflık bulmak için olsa da, MacOS kullanıcıları önlemek veri kaybına yedeklerini oluşturmak ve benzeri bir uygulama kullanıyor önerilir RansomWhere ? bu tür saldırıları engellemek için.

Reed, "Fidye yazılımının sonuçlarından kaçınmanın en iyi yolu iyi bir yedekleme kümesi sağlamaktır." "Tüm önemli verilerin en az iki yedek kopyasını saklayın ve en az bir tanesi Mac'inize her zaman bağlı tutulmamalıdır."




Yorumlar Toplam Yorum Henüz yorum Yapan Yok


Yorum Yap


Scroll to Top