کاربران سیستم عامل مک، هدف باج‌افزار ThiefQuest

۱۴ تیر ۱۳۹۹

محققان امنیتی به‌تازگی باج‌افزار جدیدی تحت عنوان ThiefQuest شناسایی کرده‌اند که همزمان با سرقت اطلاعات کاربران سیستم عامل مک، داده‌های آن‌ها را نیز حذف می‌کند. براساس اطلاعات موجود، این باج‌افزار از طریق نصب‌کننده‌های آلوده‌ی برنامه‌های شناخته شده که از طریق تورنت توزیع می‌شوند، در حال انتشار است.

هرچند که انتشار باج‌افزار برای سیستم عامل مک یک موضوع متداول نیست، اما پیش از ThiefQuest، نمونه‌های قابل توجهی مانند KeRanger، FileCoder و Patcher از سوی محققان امنیتی شناسایی شده است. با این حال، باید در نظر داشت که ThiefQuest تنها یک باج‌افزار معمولی نیست و علاوه بر دریافت باج از قربانیان خود، اطلاعات آن‌ها را نیز به سرقت می‌برد که این اطلاعات می‌تواند شامل سرقت هویت، جمع‌آوری رمزعبورها، سرقت ارز دیجیتالی و سرقت کلیدهای خصوصی و گواهی‌ها باشد. 

براساس اطلاعات موجود، باج‌افزار ThiefQuest، ابتدا دستگاه‌‌های قربانیان خود را به منظور شناسایی ابزارهای امنیتی در سیستم عامل مک بررسی کرده و سپس ارتباط با سرورهای کنترل و فرمان خود را آغاز می‌کند که طی این فرآیند، بخشی از عملیات سرقت اطلاعات از سوی سازندگان این باج‌افزار انجام می‌شود. 

همچنین ThiefQuest پس از مستقر شدن در دستگاه، فرآیند رمزگذاری فایل‌ها را آغاز می‌کند که پس از اتمام فرآیند رمزگذاری، یک فایل متنی حاوی دستور‌العمل مربوط به پرداخت باج برای قربانی ایجاد می‌کند. در این یادداشت از قربانیان درخواست می‌شود طی ۳ روز مبلغ معادل ۵۰ دلار را به‌صورت بیت‌کوین پرداخت کرده تا بتوانند فایل‌های رمزگذاری شده خود را بازیابی کنند.

اما موضوع قابل توجه این است که ThiefQuest تنها از یک آدرس بیت‌کوین برای همه قربانیان استفاده می‌کند و هیچ آدرس ایمیلی از خود برای برقراری ارتباط پس از پرداخت مبلغ درخواست شده به جای نمی‌گذارد. این مسئله موجب می‌شود که مهاجمان از اینکه چه کسی پرداخت را انجام داده مطلع نشوند و همچنین قربانیان پس از پرداخت باج نتوانند برای دریافت کلید با مهاجمان ارتباط برقرار کنند؛ بنابراین، با اطمینان می‌تواند گفت که در صورت پرداخت باج‌ نیز قربانیان باج‌افزار ThiefQuest هیچ کلیدی را دریافت نخواهد کرد.

 

توضیحات بیشتر در:

ThiefQuest ransomware is a file-stealing Mac wiper in disguise