ThiefQuest.F

ThiefQuest.F verscheen in juli van dit jaar en is een malwarebedreiging die zich richt op macOS-computers. Ook bekend als EvilQuest, zijn de belangrijkste functies het versleutelen van bestanden en het installeren van keyloggers op doelsystemen. De meest voorkomende proliferatiemethode van ThiefQuest.F lijkt populaire torrent-websites te zijn, aangezien malware-onderzoekers het kwaadaardige uitvoerbare bestand hebben gedetecteerd in illegale versies van macOS die op dergelijke sites worden gedeeld. Volgens sommige gepubliceerde rapporten geeft grondige analyse aan dat de ransomwareactiviteit momenteel niet het hoofddoel is van ThiefQuest.F-aanvallen. Onderzoekers zijn eerder van mening dat het bestandscoderingsmechanisme een eerste stap is die wordt gebruikt om de andere mogelijkheden van deze dreiging te verhullen, namelijk de keylogging, het exfiltreren van bestanden en de Command and Control (C&C) -communicatie.

Malware-experts hebben al verschillende versies van ThiefQuest.F geanalyseerd, waarbij de nieuwste zijn uitgerust met sterkere mogelijkheden, en ze lijken pas een paar dagen na de oudere varianten voor te komen. Interessant is dat de hackers achter ThiefQuest.F het ransomwaregedrag in de nieuwste versies hebben verwijderd, terwijl er verschillende nieuwe functies zijn toegevoegd die een nieuwe routine voor computergebruik implementeren en de adressen van de nieuwe functies aanroepen. De nieuwe delen hebben betrekking op het vermogen van de malware om de payload te lezen en toe te voegen, de bundelcompressie en decompressiemethode, en de procedure voor het genereren van IP-adressen uit willekeurige getallen, die, indien succesvol, vervolgens worden gebruikt als C & C-serveradressen. ThiefQuest.F nieuw geanalyseerde samples bevatten ook verbeterde anti-detectietechnieken.

Na het observeren van deze nieuwe varianten en hun verbeterde functies, gaan malwareonderzoekers ervan uit dat de bedreigingsactoren achter ThiefQuest.F toekomstplannen hebben, en we zullen binnenkort weer van hen horen.