安全是有分量的

免备案高防cdn_建筑安全网防护网_无缝切换

2022-06-20 10:30栏目:动态

免备案高防cdn_建筑安全网防护网_无缝切换

一个名为ThiefQuest的新数据雨刷器和信息窃取者正在使用勒索软件作为诱饵,从macOS用户那里窃取文件。受害者在从torrent trackers下载流行应用的木马安装程序后受到感染。

勒索软件虽然不常见,但在过去已经被认为是针对macOS平台的,KeRanger、FileCoder(又名Findzip)和Patcher是另外三种用于加密Mac系统的恶意软件ThiefQuest首先由K7实验室恶意软件研究人员Dinesh Devadoss发现,并由恶意软件系统的Mac&Mobile主管Thomas Reed、Jamf首席安全研究人员Patrick Wardle和BleepingComputer的Lawrence Abrams分析,他们发现了一个有趣的转折点。

Devadoss发现ThiefQuest具有检查其是否在虚拟机中运行的功能(根据Wardle的说法,更多的是沙盒检查),并且具有反调试功能。

它还检查一些常见的安全工具(小飞贼)和反恶意软件解决方案(卡巴斯基、诺顿、阿瓦斯特、DrWeb、麦卡菲、Bitdefender和Bullguard),并打开一个反向外壳,用于与VMRay技术负责人Felix Seele发现的指挥和控制(C2)服务器通信。

恶意软件将连接到[.]com/ret.txt获取C2服务器的IP地址,以下载更多文件并发送数据。

Wardle说:"有了这些功能,攻击者可以完全控制受感染的主机。"里德在检查勒索软件后发现,ThiefQuest被感染的安装程序丢弃,这些安装程序包装着合法软件,包括但不限于Little Snitch、Ableton和Mixed-in-Key。

即使是恶意的。从流行的torrent网站下载的PKG安装程序都是经过代码签名的,在启动时看起来就像任何合法的安装程序一样,它们以DMG文件的形式分发,并且没有自定义图标,这是一个警告标志,表明某些东西对许多macOS用户来说不太合适。

里德还发现,国内高防cdn免费,在分析的一个ThiefQuest样本中,压缩安装程序文件包包括盗版应用程序的原始安装程序和卸载程序,以及用于启动安装程序和恶意软件的恶意补丁二进制文件和安装后脚本。

ThiefQuest还将自身复制到~/Library/AppQuest/com中。苹果questd并在~/Library/LaunchAgents/com上创建启动代理属性列表。苹果奎斯特。plist,国内高防cdn免费,RunAtLoad键设置为true,以便在受害者登录系统时自动启动。

在被感染的设备上获得持久性后,ThiefQuest启动其自身的配置副本,并开始加密文件,并在末尾附加BEBABEDD标记。

与Windows勒索软件不同,ThiefQuest在开始加密文件时存在问题。当它这样做时,它并不挑剔。

它似乎随机锁定文件,在受损系统上产生各种问题,从加密登录密钥链到将Dock重置为默认外观,并导致Finder冻结。

"一旦文件加密完成,它将创建一个名为READ_ME_NOW.txt的文本文件,阿里ddos防御价格,其中包含赎金说明,"Wardle补充道,它还将使用macOS的文本到语音功能显示和读取模式提示,让用户知道他们的文件已加密。

受害者被要求在三天(72小时)内支付50美元的比特币赎金,以恢复其加密文件,并被指示阅读保存在其桌面上的赎金说明。

可疑的是,ThiefQuest对所有受害者使用相同的静态比特币地址,并且在付款后不包含可联系的电子邮件地址。

这使得攻击者无法识别支付赎金的受害者,并且受害者无法联系勒索软件运营商获取解密程序。

将静态比特币地址与缺乏联系方式相结合,强烈表明勒索软件是一个雨刷不过,雨刷通常被用作其他恶意活动的掩护。

在BleepingComputer的劳伦斯·艾布拉姆斯(Lawrence Abrams)对该恶意软件进行分析后,我们认为勒索软件只是该恶意软件真正目的的诱饵。

即从受感染的计算机中搜索并窃取某些文件类型。

当恶意软件在Mac上执行时,它将执行shell命令,下载Python依赖项、伪装成GIF文件的Python脚本,然后运行它们。

上述命令执行的任务是:

p.gif文件是一个非常模糊的Python脚本,我们无法确定它的功能是什么。

对上述文件特别感兴趣的是注释:

pct.gif文件没有混淆,显然是一个数据过滤脚本,它窃取/Users文件夹下的文件并将其发送到远程URL。

执行时,此脚本将搜索/Users文件夹下包含以下扩展名的任何文件

对于符合搜索条件的任何文件,它将对文件内容进行base64编码,并将其和文件路径发送回threat actors Command&Control server。

这些文件包括文本文件、图像、Word文档、SSL证书、代码签名证书、源代码、项目、备份、电子表格、演示文稿、数据库和加密货币钱包。

为了说明威胁参与者在另一端的情况,BleepingComputer创建了一个概念验证脚本,防御局域网ddos攻击,该脚本接受上述数据窃取脚本的请求。

虽然我们的PoC只将文件内容记录到我们的日志文件中,但它可能已将每个文件写入与受害者IP地址匹配的文件夹中。

此脚本的一个有趣特性是,它不会传输任何大于800KB的文件。

与BleepingComputer共享该脚本的高级英特尔公司Vitali Kremez同意我们的发现,并指出许多搜索到的文件类型的大小通常超过800KB。

正如你所看到的,偷盗雨刷的破坏性比最初想象的要大得多,因为不仅数据会被加密,而且如果受害者付费,它甚至可能无法解密。