EvilQuest มัลแวร์เรียกค่าไถ่ตัวใหม่ ที่มุ่งโจมตี macOS

เมื่อ :
ผู้เข้าชม : 1,340
เขียนโดย :
image_big
image_big
เมื่อ :
ผู้เข้าชม : 1,340
เขียนโดย :

Malwarebytes ผู้พัฒนาซอฟต์แวร์ป้องกันมัลแวร์ชื่อดังได้รายงานการค้นพบมัลแวร์เรียกค่าไถ่ตัวใหม่ที่มีชื่อว่า "EvilQuest" โดยตามรายงานได้ระบุว่ามัลแวร์ตัวนี้แฝงตัวอยู่ใน Little Snitch แอปพลิเคชันสำหรับใช้ควบคุมการเชื่อมต่ออินเทอร์เน็ตของแอปพลิเคชันต่างๆ ที่มีอยู่ภายในเครื่อง

ด้วยความที่ Little Snich ไม่ใช่แอปพลิเคชันฟรี แม้ราคาเริ่มต้นจะอยู่แค่เพียง 45 € เท่านั้น (ประมาณ 1,570 บาท) แฮกเกอร์ก็เลยทำการแครกแอปพลิเคชัน Little Snitch ออกมาแจกจ่ายให้ดาวน์โหลดไปใช้งานได้ฟรีผ่านทางเว็บบอร์ดในประเทศรัสเซีย แต่ใส่มัลแวร์ EvilQuest ให้เป็นของแถมมาด้วย

จากการตรวจสอบของ Malwarebytes ได้เผยว่า มันมีความน่าสงสัยตั้งแต่ตอนที่ดาวน์โหลด Little Snitch (เถื่อน) มาติดตั้งแล้ว โดยมันมาในรูปแบบของ Generic installer package แม้ว่ามันจะติดตั้ง Little Snitch ให้จริง แต่ก็มีแถมไฟล์ที่ถูกชื่อว่า "Patch" แถมมาให้ด้วย โดยมันจะติดตั้งลงใน /Users/Shared แล้วทำการรันสคริปต์เพื่อเริ่มโจมตีระบบ

EvilQuest มัลแวร์เรียกค่าไถ่ตัวใหม่ ที่มุ่งโจมตี macOS

สคริปต์ที่แถมมา จะทำการย้ายไฟล์ Patch ไปยังตำแหน่งใหม่ แล้วเปลี่ยนชื่อตัวเองเป็น CrashReporter เพื่ออำพรางตัวอยู่ใน Activity Monitor จากนั้นก็ทำการติดตั้งตัวเองซ้ำอีกครั้ง โดยย้ายตำแหน่งที่ติดตั้งเพื่อกระจายตัวไปยังพื้นที่อื่นของระบบ

EvilQuest มัลแวร์เรียกค่าไถ่ตัวใหม่ ที่มุ่งโจมตี macOS

หลังจากนั้นมัลแวร์จะเริ่มทำการเข้ารหัสไฟล์ต่างๆ บน Mac รวมถึงไฟล์ใน Keychain ด้วย ทำให้เหยื่อไม่สามารถเข้าถึงไฟล์ Keychain ผ่าน iCloud ได้อีกต่อไป ในส่วนของ Finder, Dock และแอปพลิเคชันอื่นๆ ก็เสียหายไปด้วยเช่นกัน

EvilQuest มัลแวร์เรียกค่าไถ่ตัวใหม่ ที่มุ่งโจมตี macOS

อย่างไรก็ตาม ไม่รู้ว่าจะหัวเราะได้ไหม เมื่อทาง Malwarebytes พบว่า มัลแวร์เรียกค่าไถ่ตัวนี้ออกแบบมาได้แย่มาก แม้เหยื่อจะหลงเชื่อพยายามจะจ่ายเงินค่าไถ่ $50 เพื่อปลดล็อคไฟล์แล้ว แต่ตัวมัลแวร์ก็ไม่บอกว่าจะให้จ่ายเงินไปที่ไหนอยู่ดี

สำหรับการป้องกันตัวจากมัลแวร์นั้นง่ายมาก ผู้ใช้ควรดาวน์โหลดแอปพลิเคชันจาก App Store เท่านั้น และหลีกเลี่ยงการติดตั้งแอปพลิเคชันเถื่อนที่แจกตามเว็บไซต์ หรือเว็บบอร์ดต่างๆ

ต้นฉบับ :