محققان امنیتی بهتازگی باجافزار جدیدی تحت عنوان ThiefQuest شناسایی کردهاند که همزمان با سرقت اطلاعات کاربران سیستم عامل مک، دادههای آنها را نیز حذف میکند. براساس اطلاعات موجود، این باجافزار از طریق نصبکنندههای آلودهی برنامههای شناخته شده که از طریق تورنت توزیع میشوند، در حال انتشار است.
هرچند که انتشار باجافزار برای سیستم عامل مک یک موضوع متداول نیست، اما پیش از ThiefQuest، نمونههای قابل توجهی مانند KeRanger، FileCoder و Patcher از سوی محققان امنیتی شناسایی شده است. با این حال، باید در نظر داشت که ThiefQuest تنها یک باجافزار معمولی نیست و علاوه بر دریافت باج از قربانیان خود، اطلاعات آنها را نیز به سرقت میبرد که این اطلاعات میتواند شامل سرقت هویت، جمعآوری رمزعبورها، سرقت ارز دیجیتالی و سرقت کلیدهای خصوصی و گواهیها باشد.
براساس اطلاعات موجود، باجافزار ThiefQuest، ابتدا دستگاههای قربانیان خود را به منظور شناسایی ابزارهای امنیتی در سیستم عامل مک بررسی کرده و سپس ارتباط با سرورهای کنترل و فرمان خود را آغاز میکند که طی این فرآیند، بخشی از عملیات سرقت اطلاعات از سوی سازندگان این باجافزار انجام میشود.
همچنین ThiefQuest پس از مستقر شدن در دستگاه، فرآیند رمزگذاری فایلها را آغاز میکند که پس از اتمام فرآیند رمزگذاری، یک فایل متنی حاوی دستورالعمل مربوط به پرداخت باج برای قربانی ایجاد میکند. در این یادداشت از قربانیان درخواست میشود طی ۳ روز مبلغ معادل ۵۰ دلار را بهصورت بیتکوین پرداخت کرده تا بتوانند فایلهای رمزگذاری شده خود را بازیابی کنند.
اما موضوع قابل توجه این است که ThiefQuest تنها از یک آدرس بیتکوین برای همه قربانیان استفاده میکند و هیچ آدرس ایمیلی از خود برای برقراری ارتباط پس از پرداخت مبلغ درخواست شده به جای نمیگذارد. این مسئله موجب میشود که مهاجمان از اینکه چه کسی پرداخت را انجام داده مطلع نشوند و همچنین قربانیان پس از پرداخت باج نتوانند برای دریافت کلید با مهاجمان ارتباط برقرار کنند؛ بنابراین، با اطمینان میتواند گفت که در صورت پرداخت باج نیز قربانیان باجافزار ThiefQuest هیچ کلیدی را دریافت نخواهد کرد.
توضیحات بیشتر در:
- ThiefQuest ransomware is a file-stealing Mac wiper in disguise