O Novo ThiefQuest Mac Ransomware Tem Mais do que Aparenta
Atualmente, a ameaça do ransomware está em quase toda parte, mas a maioria dos tipos visa afetar as máquinas que não são da Apple. Apesar do primeiro ransomware completo para Mac aparecer há quatro anos, não houve muitas novas ameaças direcionadas aos produtos da Apple, em comparação com o resto. O malware ThiefQuest é um novato no campo e fundamentalmente outro nome para a ameaça EvilQuest. O ThiefQuest possui vários recursos que o tornam mais interessante que o malware anterior do Mac.
O ransomware ThiefQuest possui um novo conjunto de recursos de spyware que permitem extrair arquivos de computadores infectados, procurar senhas e dados de criptomoedas, executar um keylogger para roubar senhas, informações confidenciais ou dados bancários. Os componentes spyware do ThiefQuest permanecem como backdoor para dispositivos infectados, o que significa que ele permanece ativo após a reinicialização do computador e pode ser usado para ataques de segundo estágio. Considerando a raridade do malware nos Macs, esse desenvolvimento mostra que uma nova era pode estar chegando.
De acordo com Patrick Wardle, pesquisador da Jamf, empresa de gerenciamento de Mac, se a lógica do ransomware e da porta traseira for dividida, faz sentido que sejam malware individual. Compilá-los, no entanto, mostra que alguém estava projetando um malware que lhes permite controlar remotamente completamente um sistema Mac infectado. O ransomware foi adicionado como uma maneira de ganhar mais dinheiro, acrescentou Wardle.
Embora o ThiefQuest tenha muitos recursos perigosos, é improvável que ele infecte uma máquina Mac que não possua software pirata e ilegal. O ThiefQuest está sendo distribuído em sites de torrent com software legal, especificamente o aplicativo de segurança Little Snitch, o software de DJ Mixed In Key e outros mais. O malware foi criado para se parecer com um programa de atualização do software do Google, com os pesquisadores dizendo que não viram um grande número de downloads, nem pagamentos ao endereço Bitcoin fornecido pelos atacantes.
Para que um Mac seja infectado, os usuários precisam baixar um instalador comprometido e dispensar vários avisos do software da Apple para executá-lo. Garantir que os usuários baixem software de fontes confiáveis, onde os desenvolvedores tenham código assinado pela Apple para provar que é legítimo. O ThiefQuest mostra os riscos de baixar software de fontes não verificadas.
A Apple Se Recusa a Comentar
Embora o ThiefQuest seja um conjunto extenso de malware que combina recursos de ransomware e spyware, não está claro qual é o seu objetivo final, porque os componentes parecem incompletos. O malware mostra uma nota de resgate exigindo pagamento, mas lista um endereço estático de Bitcoin para o qual as vítimas enviam sua criptomoeda. Considerando o anonimato do Bitcoin, os atacantes que desejam descriptografar os sistemas de uma vítima ao receber dinheiro não têm idéia se essa vítima em particular fez pagamentos ou não. A nota não lista nenhum e-mail que as vítimas possam usar para corresponder aos atacantes, para que possam receber uma chave de descriptografia. Isso pode ser um sinal de que o malware nunca foi concebido como um ransomware, mas a funcionalidade permanece. Jamf também descobriu que o malware tem todos os componentes necessários para descriptografar os arquivos, mas eles não estão configurados para que isso aconteça.
Os pesquisadores acreditam que os invasores que desejam realizar o reconhecimento com o spyware gostariam de ser o mais furtivos possível. A adição de recursos de ransomware atrapalha essa tentativa, tornando-a uma ameaça de alto perfil que se torna conhecida quase imediatamente. Essa situação não predispõe exatamente as pessoas a fazer compras casuais ou a procurar gastar dinheiro usando uma máquina infectada. O ransomware também não precisa obter persistência através de várias reinicializações para fazer seu trabalho. A maneira como o ThiefQuest faz sua presença conhecida leva os usuários e a comunidade de segurança a sinalizá-lo e analisá-lo no futuro, bloqueando o acesso.
O Malware ThiefQuest Possui Recursos de Ofuscação
O malware inclui algum recurso de ofuscação que permite ocultar. O malware não será executado se detectar ferramentas de segurança destinadas a detectar essas ameaças. Também fica quieto se for executado dentro de um ambiente de sandbox ou máquina virtual, destinado a testes. Quando o código é analisado, os pesquisadores descobriram que apenas alguns componentes foram ocultados para dificultar a compreensão do que eles fazem, enquanto outros estavam completamente descriptografados.
É possível que o malware tenha sido executado como um spyware silencioso para coletar dados primeiro, iniciando o ransomware barulhento como parte do esforço para obter alguns fundos da vítima antes que os atacantes sigam em frente. Durante o teste, alguns pesquisadores acharam mais difícil do que outros empurrar o malware para criptografar arquivos durante a fase de ransomware, que pode estar conectada a isso, mas o malware apresenta o comportamento de um bug, dificultando a determinação da intenção original dos desenvolvedores.
Considerando que o método de distribuição é através de torrents, com foco no roubo de dinheiro, os pesquisadores dizem que provavelmente foi feito por hackers criminosos, em vez de atores estatais usá-lo para espionagem. Em alguns casos, o ransomware é imitado para servir como uma distração quando os atacantes buscam um resultado diferente. O NotPetya foi um exemplo, pois fingia ser um ransomware, mas agia mais como um limpador. Considerando a raridade geral do ransomware baseado no Mac, é surpreendente ver o ThiefQuest fazendo essa mudança.