Дослідники з кібербезпеки компанії SentinelOne створили інструмент, який дозволяє користувачам відновлювати файли, зашифровані шкідливим програмним забезпеченням на Mac, під назвою ThiefQuest.
ThiefQuest, спочатку названий EvilQuest, призначений для шифрування файлів на компрометованих системах, але також дозволяє його операторам записувати журнал натискань клавіш, здійснювати крадіжку файлів та встановлювати повний контроль над зараженим пристроєм, пише Security Week.
ThiefQuest спочатку був класифікований як вимагацьке програмне забезпечення, але більш детальний аналіз виявив, що зловмисники не мали змоги дізнатися, які жертви заплатили викуп, що змусило дослідників вважати, що функції вимагацького програмного забезпечення призначені для маскування діяльності з викрадання даних.
ThiefQuest постачається як троянізовані інсталятори для додатків macOS, таких як програми Ableton та Mixed in Key DJ та брандмауера Little Snitch. Після встановлення зловмисного програмного забезпечення він починає шифрувати файли, знайдені на пристрої, після чого повідомляє жертвам, що їхні файли були зашифровані і для їх відновлення потрібно заплатити викуп у розмірі 50 доларів.
Однак, як зазначає Bleeping Computer, однакова адреса для слати біткойнів надається всім жертвам, і жертви не можуть зв’язатися з нападниками, щоб повідомити їм, що викуп був сплачений.
Крім того, експерт із безпеки Apple Патрік Уордл зауважив, що шифрувальний код не знайдений у шкідливому програмному забезпеченні, що вказує на те, що він ніколи не виконується. Дослідники зловмисних програм зазначили, що зловмисне програмне забезпечення не завжди шифрує файли, навіть якщо програма стверджує, що це зроблено, що ще більше вказує на те, що можливості вимагацького програмного забезпечення є лише відволіканням.
Для користувачів Mac, чиї файли були зашифровані шкідливим програмним забезпеченням, SentinelOne випустив безкоштовний інструмент розшифровки. Дослідники компанії проаналізували ThiefQuest і помітили, що його розробник залишив функцію дешифрування в коді зловмисного програмного забезпечення. Після того, як вони змогли відновити ключ, необхідний для розшифрування файлів, вони використовували власну функцію розшифровки шкідливого ПЗ для відновлення зашифрованих файлів .
ThiefQuest призначений для крадіжки документів, зображень, вихідного коду, баз даних, ключів шифрування та гаманців криптовалют із заражених систем.
Уордл в аналізі загрози показав, що вона також шукає виконувані файли, і приєднав шкідливий код до цих файлів. Це дозволило б шкіднику поширюватися як вірус, що вкрай рідко для шкідливих програм Mac.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ОЧИСТИТИ КЕШ ТА ФАЙЛИ COOKIES У БРАУЗЕРІ FIREFOX? – ІНСТРУКЦІЯ
ПОРАДИ ЩОДО ОРГАНІЗАЦІЇ СВОЇХ ДОДАТКІВ ДЛЯ IPHONE АБО IPAD
ЯК ЗАПОБІГТИ ДЕФРАГМЕНТАЦІЇ ТВЕРДОТІЛОГО НАКОПИЧУВАЧА SSD? ІНСТРУКЦІЯ
НАВІЩО ПОТРІБЕН МЕНЕДЖЕР ПАРОЛІВ ТА ЯК ПРАВИЛЬНО ЙОГО ОБРАТИ?
ЯК ЗАБОРОНИТИ GOOGLE ЗБИРАТИ ВАШІ ДАНІ ТА НАЛАШТУВАТИ ЇХНЄ АВТОВИДАЛЕННЯ? ІНСТРУКЦІЯ
Ноутбук та рідина – це погана комбінація, але трапляються випадки, коли вони все ж таки “об’єднуються”. Про те, що робити, якщо це сталося, читайте у статті.
Також після тестування стало відомо, що надзвичайно популярний сьогодні додаток – TikTok, зберігає вміст буфера обміну кожні кілька натискань клавіш. Цей факт насторожив багатьох користувачів, але TikTok лише один із 53 додатків, які зберігають інформацію про користувачів таким чином.
Стало відомо, що мешканець Житомирщини підмінив міжнародного мобільного трафіку на понад півмільйона гривень. Крім цього, встановлено інші злочинні осередки які здійснюють підміну міжнародного трафіку в різних регіонах країни.
До речі, хакери використовували шкідливе програмне забезпечення, через яке викрадали реквізити банківських електронних рахунків громадян США, Європи, України та їхні персональні дані. Зокрема, через електронні платіжні сервіси, у тому числі заборонені в Україні російські, вони переводили викрадені гроші на власні рахунки у вітчизняних та банках РФ і привласнювали.
Хакери зараз користуються сервісом Google Analytics для крадіжки інформації про кредитні картки із заражених сайтів електронної комерції. Відповідно до звітів PerimeterX та Sansec, хакери зараз вводять шкідливий код, призначений для крадіжки даних на компрометованих веб-сайтах.
