Nuevo ransomware EvilQuest descubierto dirigido a usuarios de macOS


Los investigadores de seguridad han descubierto esta semana una nueva cepa de ransomware dirigida a usuarios de macOS.

Llamado OSX.EvilQuest, este ransomware es diferente de las amenazas anteriores de ransomware macOS porque además de cifrar los archivos de la víctima, EvilQuest también instala un keylogger, un shell inverso y roba archivos relacionados con la billetera de criptomonedas de hosts infectados.

«Armado con estas capacidades, el atacante puede mantener el handle total sobre un host infectado», dijo Patrick Wardle, investigador principal de seguridad de Jamf. Esto significa que incluso si las víctimas pagaran, el atacante aún tendría acceso a su computadora y continuaría robando archivos y golpes de teclado.

Wardle es actualmente uno de los muchos investigadores de seguridad de macOS que están analizando esta nueva amenaza.

Otros que también están investigando EvilQuest incluyen Thomas Reed, Director de Mac & Cell en Malwarebytes, y Phil Stokes, investigador de seguridad de macOS en SentinelOne.

Reed y Stokes están buscando una debilidad o error en el esquema de cifrado del ransomware que pueda explotarse para crear un descifrador y ayudar a las víctimas infectadas a recuperar sus archivos sin pagar el rescate.

EvilQuest se distribuye a través de computer software pirateado

Pero el investigador que vio por primera vez el nuevo ransomware EvilQuest es el investigador de seguridad de K7 Lab, Dinesh Devadoss.

Devastador tuiteó sobre su hallazgo ayer, 29 de junio. Sin embargo, mientras tanto, surgieron nuevas pruebas que revelaron que EvilQuest ha sido, en realidad, distribuido en la naturaleza desde principios de junio de 2020.

Reed dijo ZDNet en una llamada telefónica hoy que Malwarebytes ha encontrado EvilQuest oculto dentro del software program pirateado de macOS cargado en portales de torrent y foros en línea.

Devadoos ha visto a EvilQuest oculto en un paquete de software program llamado Actualización de application de Google, Wardle ha encontrado muestras de EvilQuest dentro de una versión pirateada del common computer software de DJ Mixed In Key, y Reed lo ha visto escondido dentro de la herramienta de seguridad de macOS llamada Minor Snitch.

evilquest-forum.png

Foro ruso que difunde la aplicación pirateada de macOS infectada con OSX.EvilQuest

Imagen: ZDNet a través de Malwarebytes

Sin embargo, Reed nos dijo que cree que el ransomware probablemente se distribuya más ampliamente, aprovechando muchas más aplicaciones, y no solo estas tres.

Wardle, quien publicó un Análisis técnico en profundidad de EvilQuest El día de hoy, dijo que el malware es bastante sencillo, ya que se mueve para cifrar los archivos del usuario tan pronto como se ejecuta.

Una vez que finaliza el esquema de cifrado de archivos, se muestra una ventana emergente al usuario, que le permite a la víctima saber que han sido infectados y sus archivos cifrados.

evilquest-popup.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/06/30/c022c4b0-539f-4d28-8a4f-1ce3275be6f6/evilquest-popup.png

Imagen: Dinesh Devadoss

Se le indica a la víctima que abra una nota de rescate en forma de un archivo de texto que se ha colocado en su escritorio, que se parece al siguiente:

evilquest-ransom-note.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/06/30/f4e7bac1-aa07-4f73-97d0-424025af79a1/evilquest-ransom-note.png

Imagen: Patrick Wardle

Stokes dijo ZDNet el ransomware cifrará cualquier archivo con las siguientes extensiones de archivo:

.pdf, .doc, .jpg, .txt, .webpages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p , .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat

Una vez que finaliza el proceso de cifrado, el ransomware instala un keylogger para registrar todas las pulsaciones de teclas del usuario, un shell inverso para que el atacante pueda conectarse al host infectado y ejecutar comandos personalizados, y también buscará robar los siguientes tipos de archivos, generalmente empleados por aplicaciones de billetera de criptomonedas.

  • «wallet.pdf»
  • «wallet.png»
  • «vital.png»
  • «* .p12»

En su propio análisis de EvilQuest, Reed también señaló que el ransomware también intenta modificar archivos específicos del mecanismo de actualización de Google Chrome, y usar los archivos como una forma de persistencia en los hosts infectados.

«Estos archivos [de actualización de Chrome] tenían el contenido de parche «antepuesto a ellos, lo que por supuesto significaría que el código malicioso se ejecutará cuando se ejecute cualquiera de estos archivos», dijo Reed. «Sin embargo, Chrome verá que los archivos han sido modificados y reemplazará los archivos modificados con copias limpias». tan pronto como se ejecuta, no está claro cuál es el propósito aquí «.

Wardle, quien ha creado varias herramientas de seguridad macOS de código abierto, dijo que una herramienta que lanzó en 2016, llamada RescateDónde, puede detectar y detener la ejecución de EvilQuest. Reed también dijo que Malwarebytes para Mac también se actualizó para detectar y detener este ransomware antes de que lead to algún daño.

EvilQuest es la tercera variedad de ransomware que se ha dirigido exclusivamente a usuarios de macOS después de KeRanger y Patcher. Otra cepa de ransomware macOS llamada Mabouia solo existió a nivel teórico y nunca fue lanzado en el mundo authentic.





Enlace a la noticia primary