人気の急流サイトで共有されている人気のMacソフトウェアの海賊版を介してmacOSユーザーを標的とする新しいMacランサムウェア株。
ユーザーは、海賊版ソフトウェアリンクの共有に特化したロシアのフォーラムでダウンロード可能な人気のあるソフトウェアの悪意のあるバージョンに言及しました。
Macランサムウェア
Macランサムウェアは、マルウェアの研究者であるDinesh Devadossによって最初に発見されました。このランサムウェアは、22年2020月XNUMX日以降、ユーザーに基づいてGoogleソフトウェアアップデートプログラムとして配布され、マルウェアを利用できるようになっています。
ランサムウェアは、ウイルスの合計で検出がゼロであり、すべてのAVエンジンがアプリケーションを安全であるとマークしました。
他の研究者であるMalwarebytesのMac&MobileのディレクターであるThomas Reedと、SentinelOneのmacOSセキュリティ研究者であるPhil Stokesも、EvilQuestランサムウェア株を調査しました。
リトルスニッチインストーラーの悪意のあるバージョンを分析したリードは、「魅力的かつ専門的にパッケージ化されており、適切にコード署名されたカスタムインストーラーが作られている」と述べています。
インストールプロセスでは、アイコンは正規のLittle Snitchインストーラーおよびアンインストーラーアプリのように見え、インストールが完了するとシェルスクリプトも実行されます。
マルウェアのインストールプロセスはそれほど洗練されていないため、ランサムウェア株の成功率はそれよりも低くなっています。
マルウェア感染プロセスが始まると、ハードドライブの周りに広がり、永続性も設定されます。
リード 観測された、「これらのファイルは、Google Chromeがマシンにインストールされているためにインストールされていることが最も多いGoogleSoftwareUpdateの一部として実行されます。」
他のマルウェアとは異なり、ファイルだけを暗号化するほどスマートではなく、いくつかの設定ファイルやキーチェーンファイルなどの他のデータファイルも暗号化します。
感染後、ユーザーがログインしようとすると、キーチェーンに次のエラーが表示されます。
暗号化プロセスが完了すると、次の身代金の通知が表示されます。
マルウェアの機能は次のとおりです
- あなたのファイルを身代金
- リバースシェルをポップします
- キーストロークを盗む
- インメモリのペイロードを実行します
マルウェアには、いくつかのアンチ分析手法も含まれています。仮想マシン内で実行された場合、完全な機能は表示されません。
複数の機能を備えたマルウェアにより、攻撃者は感染したホストを完全に制御することができます。
あなたは私たちをフォローすることができます LinkedIn, Twitter, Facebook 毎日のサイバーセキュリティとハッキングニュースの更新。
また読む
毒されたGoogle検索結果を介した新しいMacマルウェアの拡散に注意する
Blue Mockingbird Hacker Groupが複数の組織のWindowsマシンを攻撃して暗号通貨マイニングマルウェアを導入