黑客突破macOS的安全防御，新型恶意软件正在偷偷的窃取你的文件( 二 ) _黑客突破macOS

安装Python的'requests'依赖项下载p.gif（这是一个Python文件）并执行它。
下载pct.gif（这是另一个Python文件）并执行它。
p.gif文件是一个高度混淆的Python脚本，我们尚无法确定其功能。

文章插图

在上面的文件中特别感兴趣的是注释：

# n__ature checking PoC# TODO: PoCs are great but this thing will# deliver much better when implemented in# production

pct.gif文件不会被混淆，并且显然是一个数据泄漏脚本，它会窃取/ Users文件夹下的文件并将其发送到远程URL 。

文章插图

执行后，此脚本将搜索/ Users文件夹下包含以下扩展名的所有文件

.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet,.dat

对于符合搜索条件的任何文件，它将对文件的内容进行base64编码，然后将其和文件路径发送回至威胁参与者的Command＆Control服务器。
这些文件包括文本文件，图像，word文档，SSL证书，代码签名证书，源代码，项目，备份，电子表格，演示文稿，数据库和加密货币钱包。
为了说明威胁行为者在另一端的情况，BleepingComputer创建了一个概念验证脚本，该脚本接受了上述数据窃取脚本的请求。

文章插图

虽然PoC仅将文件的内容记录到日志文件中，但它可能已将每个文件都写入了与受害者IP地址匹配的文件夹中。
该脚本的一个有趣功能是它不会传输任何大小超过800KB的文件。
受害人该怎么办？
如您所见，EvilQuest抽头的破坏性远不如最初想像的大，因为不仅数据将被加密，而且如果受害者付款，它甚至可能无法解密。
更糟糕的是，该恶意软件将从您的计算机上窃取包含敏感信息的文件，这些文件可能用于各种恶意目的，包括身份盗窃，密码收集，窃取加密货币以及窃取私有安全密钥和证书。
如果您感染了该恶意软件，则应假定与所列扩展名匹配的所有文件均已被盗或以某种方式被破坏。
虽然不知道是否可以制作解密器，但用户可以安装Wardle的免费RansomWhere实用程序，该实用程序可以检测EvilQuest尝试获得持久性的尝试，并允许他们在开始锁定文件后将其终止。
里德还表示，适用于Mac的Malwarebytes能够以Ransom.OSX.EvilQuest的形式检测到这种新的macOS勒索软件，并将其从受感染的Mac中删除。
目前，研究人员仍在研究EvilQuest用于加密受害者文件的加密方法，以及加密中是否存在任何弱点。