黑客突破macOS的安全防御，新型恶意软件正在偷偷的窃取你的文件 _黑客突破macOS

文章插图

一种名为EvilQuest的新数据擦除程序和信息窃取程序正在使用勒索软件作为诱骗手段窃取macOS用户文件。从torrent跟踪器下载流行应用的木马安装程序后，受害者就被感染了。
一直以来macOS平台勒索软件虽然不常见，但macOS一直是黑客攻击的目标，其中KeRanger，FileCoder（又名Findzip）和Patcher是旨在针对macOS的三个恶意软件示例。
EvilQuest最初由K7实验室恶意软件研究员Dinesh Devadoss发现，并由Malwarebytes的Mac和Mobile总监Thomas Reed，Jamf首席安全研究员Patrick Wardle和BleepingComputer的Lawrence Abrams进行了分析，他们发现了一个有趣的转折。

文章插图
在RUTracker上推广了被EvilQuest勒索软件感染的盗版应用（Malwarebytes）
安装键盘记录器并反弹shell
Devadoss发现EvilQuest具有检查其是否在虚拟机中运行的功能，并且具有反调试功能。
它还会检查一些常见的安全工具（Little Snitch）和反恶意软件解决方案（Kaspersky，Norton，Avast，DrWeb，Mcaffee，Bitdefender和Bullguard）并打开一个反向shell用于与其命令和控制（C2）服务器进行通信。
该恶意软件将连接到andrewka6.Pythonanywhere.com/ret.txt以获取C2服务器的IP地址，下载更多文件并发送数据。
有了这些功能，攻击者就可以完全控制受感染的主机。
在种子网站上以盗版应用程序分发传播
正如Reed在检查勒索软件后所发现的那样，EvilQuest被感染的安装程序丢弃了，这些安装程序包装了合法软件，包括但不限于Little Snitch，Ableton和Mixed in Key 。
即使从流行的洪流站点下载的恶意.PKG安装程序都经过了代码签名，并且看起来像任何合法的安装程序在启动时一样，它们都以DMG文件的形式分发并且没有自定义图标，这是一个警告标志，表明某些内容不正确适用于许多macOS用户。
里德还发现，在分析其中一个EvilQuest示例的情况下，压缩安装程序文件的软件包包括盗版应用程序的原始安装程序和卸载程序，以及恶意的补丁二进制文件和用于启动安装程序的安装后脚本，以及启动恶意软件。
EvilQuest还将自身复制到?/ Library / AppQuest / com.apple.questd中，并在?/ Library / LaunchAgents / com.apple.questd.plist中创建一个启动代理属性列表，并将RunAtLoad项设置为true以在以下情况下自动启动：受害者登录系统。
在被感染的设备上获得持久性后，EvilQuest会启动自身的配置副本并开始加密文件，并在末尾附加BEBABEDD标记。

文章插图

与windows勒索软件不同，它似乎是随机锁定文件，从而在受感染的系统上产生各种问题，从加密登录钥匙串到将Dock重置为默认外观，并导致Finder冻结。
Wardle补充说：“文件加密完成后，它将使用赎金指令创建一个名为READ_ME_NOW.txt的文本文件。它还将使用macOS的文本转语音功能显示和读取模式提示，让用户知道他们的文件已加密。

文章插图

受害者被要求在三天（72小时）内以比特币支付50美元赎金，以恢复其加密文件，并指示他们读取保存在其台式机上的赎金记录。

文章插图

令人怀疑的是，EvilQuest正在为所有受害者使用相同的静态比特币地址，并且在付款后不包含要联系的电子邮件地址。
这使得攻击者无法识别支付了赎金的受害者，也无法让受害者联系勒索软件运营商以获取解密器。
将静态的比特币地址与缺乏联系方式结合在一起，就很明显地表明勒索软件是雨刷器（完全摧毁或删除目标计算机或网络的所有数据）。
用于数据盗窃的擦除器恶意软件
在通过BleepingComputer的Lawrence Abrams分析了该恶意软件之后，认为勒索软件仅仅是该恶意软件真正目的的诱饵。
那就是从受感染的计算机中搜索并窃取某些文件类型。
在Mac上执行该恶意软件时，它将执行Shell命令，这些命令将下载Python依赖项，伪装成GIF文件的Python脚本，然后运行它们。