مقدمه
محققان امنیتی به تازگی یک نوع باج افزار جدید را کشف کرده اند که کاربران سیستم عامل MACOS را مورد هدف قرار می دهد و به این دسته از سیستم عامل ها آسیب می زند. این باج افزار که OSX.ThiefQuest یا EvilQuest نامیده می شود جزو خطرناک ترین باج افزارهای موجود به حساب می آید که با تهدیدات قبلی سیستم عامل MACOS متفاوت است.
این باج افزار علاوه بر رمزگذاری فایل های قربانی، یک Keylogger و یک Shell معکوس نیز نصب کرده و فایل های مربوط به کیف پول ارزهای دیجیتال میزبان های آلوده را بررسی و اطلاعات آن ها را سرقت می کند. در این مطلب شما را با این باج افزار آشنا کرده و در رابطه با این باج افزار صحبت می کنیم.
معرفی فنی EvilQuest
به منظور بررسی و معرفی فنی باج افزار جدید سیستم عامل مک، پاتریک واردل محقق امنیت در Jamf می گوید:
“باج افزار جدید سیستم عامل مک به نحوی است که با ویژگی هایی که دارد، مهاجم می تواند کنترل کاملی بر روی سیستم میزبان آلوده داشته باشد.
این به آن معنا است که حتی اگر قربانیان از طریق کیف پول های دیجیتالی خود پولی پرداخت کنند و تراکنش مالی داشته باشند، مهاجم همچنان به رایانه آن ها دسترسی خواهد داشت و می تواند به راحتی اقدام به سرقت فایل ها کرده و از طریق برنامه keylogger، دکمه های زده شده بر روی صفحه کلید میزبان را نیز به صورت کامل رصد می کند.”
پاتریک واردل در حال حاضر یکی از محققان امنیت سیستم عامل MACOS است که در حال تجزیه و تحلیل این تهدید جدید بوده و در تلاش است تا نقاط ضعف این باج افزار را پیدا کرده و روشی برای حل این مشکل پیدا کند.
از دیگر تکنسین هایی که در حال بررسی این باج افزار هستند می توان به اشخاص زیر اشاره کرد:
- توماس رید، مدیر بخش مک و موبایل در شرکت Malwarebytes
- فیل استوکس، محقق امنیت سیستم عامل MACOS در SentinelOne
رید و استوکس در حال حاضر به دنبال پیداکردن ضعف و یا اشکالی در برنامه رمزگذاری شده این باج افزار هستند.
آن ها به دنبال ضعفی هستند که می تواند به کمک قربانیان آلوده آمده و به آن ها کمک کند تا بدون پرداخت باج به سازندگان این بدافزار بتوانند بدون مشکل فایل های خود را بازیابی کرده و در دام این هکرها نیفتند.
روش پخش EvilQuest چیست؟
به منظور بررسی و پیداکردن روش پخش باج افزار جدید سیستم عامل مک، دینش دوادوس محقق امنیت آزمایشگاه K7 اولین شخصی بود که باج افزار جدید سیستم عامل مک را مشاهده و آن را پیدا کرد. دوادوس که از همان ابتدا بر روی این باج افزار تحقیق می کرد در تاریخ ۲۹ ژوئن، توییتی درباره جدیدترین یافته های خود منتشر کرد. او در جدیدترین توئیت خود در مورد این باج افزار جدید گفت:
“شواهدی وجود دارد که نشان می دهد باج افزار جدید که مشکل کاربران سیستم عامل مک است، در واقع از آغاز ژوئن ۲۰۲۰ توزیع شده بود و سیستم های مختلفی را آلوده کرده بود.”
توماس رید، در یک تماس تلفنی با ZDNet، یکی از بزرگترین وب سایت های فعال در حوزه تکنولوژی گفت که شرکت Malwarebytes به این نتیجه رسیده است که این باج افزار در نرم افزار MACOS غیرقانونی که در پورتال های تورنت و انجمن های آنلاین آپلود شده است، برای اولین بار پنهان شده بود و از این طریق در سیستم های مختلف خودش را تکثیر کرد.
علاوه بر این سایر برنامه های غیرقانونی که به عنوان فایل های تورنت در فضا اینترنت جا به جا می شوند نیز از مهم ترین منابع پخش این باج افزار بودند. از مهم ترین برنامه های آلوده می توان به برنامه تولید موسیقی Ableton، نرم افزار میکس دی جی Mixed In Key و ابزار امنیتی Little Snitch اشاره کرد.
با این حال، رید در جدیدترین مصاحبه خود معتقد است که باج افزار به احتمال زیاد به طور گسترده تری توزیع شده است و بسیاری از برنامه های محیط تورنت نیز آلوده به این باج افزار هستند و سه برنامه گفته شده تنها منابع اصلی پخش این بدافزار نیستند.
عملکرد باج افزار جدید مک چگونه است؟
واردل به عنوان یکی از محققانی که بر روی این باج افزار تحقیق می کند، یک تحلیل فنی عمیق از نحوه عملکرد EvilQuest منتشر کرده است. او به منظور بررسی عملکرد این باج افزار جدید گفت:
“این بدافزار عملکرد بسیار ساده ای دارد، زیرا به محض اجرا به سمت رمزگذاری فایل های کاربر حرکت می کند. هنگامی که بخش رمزگذاری فایل ها توسط این بدافزار به پایان می رسد، یک پنجره به کاربر نشان داده می شود که به قربانی اطلاع می دهد که سیستم شما آلوده شده و فایل های شما به صورت کامل رمزگذاری شده است.
در ادامه این باج افزار به قربانی دستور می دهد که یک یادداشت که در مورد نحوه پرداخت باج است و در قالب یک فایل متنی بر روی دسکتاپ او قرار داده شده است را باز کند و آن را بررسی کند.” استوکس در مصاحبه با وب سایت ZDNet گفت که باج افزار هر فایلی که دارای پسوندهای زیر است را به صورت رمزگذاری می کند:
- .doc
- .jpg
- .txt
- .pages
- .pem
- .cer
- .crt
- .php
- .py
- .h
- .m
- .hpp
- .cpp
- .cs
- .pl
- .p
- .p3
- .html
- .webarchive
- .zip
- ,.xsl
- .xslx
- .docx
- .ppt
- .pptx
- .keynote
- .js
- .sqlite3
- .wallet
- .dat
پس از پایان فرایند رمزگذاری، باج افزار یک keylogger را بر روی سیستم قربانی نصب می کند. عملکرد این برنامه به نحوی است که تمامی کلیدهایی که کاربر بر روی کیبورد می زند را در خود ذخیره می کند.
در گام بعدی یک Shell معکوس نیز بر روی سیستم عامل میزبان نصب می شود تا از این طریق مهاجم بتواند به میزبان آلوده متصل شده و دستورات موردنظر خود را بر روی سیستم عامل مک قربانی اجرا کند. همچنین مهاجم از طریق این باج افزار به دنبال سرقت فایل های زیر است که معمولاً توسط برنامه های کاربردی کیف پول ارزهای دیجیتال اجرا می شوند:
- “wallet.pdf”
- “wallet.png”
- “key.png”
- “*.p12”
توماس رید در تحلیل خود از از این باج افزار همچنین خاطرنشان کرد که این باج افزار تلاش می کند تا فایل های خاصی که مکانیزم به روزرسانی Google Chrome را انجام می دهند تغییر داده و از فایل ها به عنوان نوعی پایداری در آلوده کردن سیستم میزبان استفاده کند.
توماس رید همچنین گفت:
“این فایل های مخصوص به روزرسانی Chrome دارای محتوای فایل Patch بودند که به این معنا است که کد مخرب هنگام اجرای هر یک از این فایل ها دوباره قابلیت اجرا شدن دارد. با این حال، تحقیقات انجام شده نشان می دهد که مرورگر Chrome متوجه این مسئله می شود که فایل ها اصلی برنامه با فایل های آلوده جایگزین شده اند و به محض اجرا، فایل های خراب شده را با نسخه های تمیز جایگزین می کند؛ بنابراین فعلا برای ما مشخص نیست که هدف برنامه نویسان این باج افزار از انجام این کار چه بوده.”
نحوه پرداخت باج
اگر پس از آلوده شدن به این باج افزار قصد داشتید تا اقدام به پرداخت باج کرده و از این طریق فایل های خود را برگردانید باید بدانید که محققان خاطرنشان کردند، این بدافزار به نحوی است که در آن قربانیان نمی توانند با سازندگان باج افزار تماس بگیرند. حتی در این باج افزار روشی وجود ندارد که از طریق آن برنامه نویسان بدافزار بتوانند پرداخت ها را ردیابی کنند. این به آن معنا است که حتی اگر قربانیان برای بازگردانی فایل های خود مبلغ مشخص شده را از طریق بیت کوین پرداخت کنند، احتمالاً کلید رمزگشایی برای بازیابی فایل های خود را دریافت نخواهند کرد، زیرا هیچ راهی برای گروه EvilQuest وجود ندارد که مشخص کند چه کسی باج را پرداخت کرده و چه کسی پرداخت نکرده است.
به همین دلیل می توان گفت همه قربانیان آلوده داده های خود را برای همیشه از دست می دهند، مگر این که محققینی که بر روی این باج افزار تحقیق می کنند بتوانند راهی برای شکستن رمزگذاری و بازیابی فایل ها پیدا کنند.
در زمان نگارش این مقاله، محققان امنیتی هنوز نمی دانند که این بد افزار از همان ابتدا یک باج افزار بوده و یا این ماژول باج افزار بعداً به یک تروجان دسترسی از راه دور دیگر اضافه شده است. یکی از تئوری هایی که با ادامه تجزیه و تحلیل کد توسط محققان ایجاد شده این بود است که این باج افزار به عنوان یک بدافزار سرقت اطلاعات معمولی شروع به کار کرد، اما بعداً با یک ماژول رمزگذاری فایل باکیفیت پایین گسترش پیدا کرد که در نهایت باعث می شود تا فایل های کاربران را از بین ببرد.
واردل که چندین ابزار امنیتی مختلف برای macOS ایجاد کرده است، می گویند ابزاری که در سال ۲۰۱۶ منتشر کرد و نام آن RansomWhere می تواند باج افزار جدید سیستم عامل مک را شناسایی و از اجرای آن جلوگیری کند. رید همچنین گفت که Malwarebytes برای مک نیز به روزرسانی شده است تا این باج افزار را قبل از این که آسیبی به سیستم شما وارد کند، شناسایی کرده و آن را متوقف کند.
حرف آخر
در این مطلب به بررسی بدافزار EvilQuest پرداخته و شما را با این بدافزار آشنا کردیم. این بدافزار سومین نوع باج افزاری است که پس از KeRanger و Patcher به طور انحصاری کاربران سیستم عامل macOS را مورد هدف قرار می دهد.
نکته مهمی که باید بدانید این است که در حال حاضر شاهد تغییر نام این باج افزار به ThiefQuest هستیم، زیرا نام EvilQuest توسط شرکت Chaosoft Games برای یکی از بازی های خود انتخاب شده بود و به همین دلیل سازندگان این بازی از محققان درخواست کردند تا نام این باج افزار را تغییر دهند.
اگر قصد دارید تا از سیستم خود در برابر این بدافزار محافظت کنید، پیشنهاد ما این است که حتما اقدام به بروزرسانی آنتی ویروس های خود کرده و از این طریق امنیت سیستم خود را افزایش دهید. انجام این کار به شما کمک می کند تا بتوانید به بهترین شکل ممکن در برابر این بدافزار جدید که کاربران سیستم عامل مک را با مشکلات مختلفی مواجه کرده، مقابله کرده و از آلوده شدن سیستم خود به این باج افزار جدید جلوگیری کنید.
Leave A Comment