Злоключения вора
Пользователи macOS оказались под угрозой со стороны нового многофункционального вредоноса, получившего названия EvilQuest и ThiefQuest. Это один из довольно немногочисленных шифровальщиков, который, в отличие от многих других подобных программ, укомплектован шпионскими функциями, в том числе кейлоггером, средствами вывода данных и поиска паролей и криптокошельков. Вдобавок вредонос устанавливает в атакованную систему обратный шелл, что позволяет удалённо ставить заражённую систему под полный контроль злоумышленников.
EvilQuest выдаёт себя за программу для обновления разработок Google в системе. Программа снабжена множеством функций для противодействия попыткам анализа — перед запуском она проверяет, не находится ли она в виртуальной машине или в иной изолированной среде («песочнице»). Кроме того, ThiefQuest проверяет присутствие в системе популярных антивирусов (Kaspersky, Norton, Avast, DrWeb, Mcaffee, Bitdefender, Bullguard).
Интересно, что помимо мнимых обновлений программ Google, вредонос распространяется вместе с пиратскими программами под macOS, опубликованными на торрентах, в том числе, русскоязычных. Известно о заражённых копиях пакета для киберзашиты LittleSnitch, а также музыкального ПО Mixed In Keys и Ableton.
По данным ZDNet, шифрованию подвергаются файлы следующих расширений: .pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat.
Плюс к этому, ThiefQuest пытается зачем-то модифицировать файлы GoogleSoftwareUpdate. Вероятно, ради того, чтобы обеспечить себе постоянное присутствие в системе.
Недоработка вредоноса
Эксперт по кибербезопасности Патрик Уордл (Patrick Wardle), исследовавший ThiefQuest, полагает, что первичное назначение вредоноса было сугубо шпионским, но затем к нему «прикрутили» и функции шифровальщика, чтобы увеличить потенциальный заработок. Функции шифровальщика выглядят недоработанными: в сообщении с требованием выкупа указан адрес кошелька Bitcoin, но при этом у злоумышленников, похоже, нет никаких средств определить, кто заплатил, а кто нет, и кому высылать ключ дешифровки — если такая функция вообще предусмотрена. Злоумышленники также не оставляют контактной информации. По словам Уордла, все функции для дешифровки во вредоносе присутствуют, но, похоже, их работоспособность и не предполагалась.
«Далеко не все вредоносы, ведущие себя как шифровальщики-вымогатели, действительно являются таковыми, в том смысле, что не все предполагают возможность предоставления ключа расшифровки, — указывает Алексей Водясов, эксперт по информационной безопасности компании SECConsultServices. — Впрочем, в данном случае речь скорее о недоработанных функциях, что может подразумевать продолжающуюся активную разработку вредоноса, а нынешние случаи заражений являются не более чем полевым тестированием. Обилие функций может также указывать на планы его создателей распространять его по RaaS-модели в качестве универсального средства извлечения преступной прибыли».