ทีมนักวิจัยทางด้าน Cybersecurity ได้ออกมาเผยถึงการค้นพบ Ransomware ชนิดใหม่ที่มีชื่อเรียกว่า EvilQuest ซึ่งมุ่งเน้นการโจมตีผู้ใช้งาน macOS โดยเฉพาะ โดยมีการแพร่กระจายผ่านมา Application ผิดลิขสิทธิ์หรือแอปเถื่อนนั่นเอง
รายงานของนักวิจัยจาก K7 Lab ได้แก่ Dinesh Devadoss, Patrick Wardle และ Malwarebytes ได้ระบุว่า EvilQuest นี้เป็น Ransomware ที่มักถูกแนบมากับ Application ปกติ และปลอมตัวเองเป็น Apple CrashReporter หรือ Google Software Update ในระหว่างที่ทำการติดตั้ง Application นั้นๆ ซึ่งนอกจากจะมีความสามารถในการเข้ารหัสข้อมูลของเหยื่อแล้ว ก็ยังแฝงความสามารถในการฝังตัวเอาไว้อย่างแนบเนียน, บันทึกข้อมูลการพิมพ์, สร้าง Reverse Shell และยังสามารถทำการขโมยไฟล์ต่างๆ ที่เกี่ยวข้องกับ Cryptocurrency Wallet ได้อีกด้วย
EvilQuest นี้อาศัยการแนบตัวมากับ Application ที่เป็นที่นิยมแจกฟรีบนเว็บ Torrent อย่างเช่น Little Snitch, Mixed In Key 8 และ Ableton Live โดยทีมวิจัยได้ยกตัวอย่างของวิธีการที่ผู้พัฒนา EvilQuest ใช้ เช่นใน Installer ของ Little Snitch ที่ถึงแม้จะออกแบบมาเป็นอย่างดี แต่ก็มีจุดอ่อนที่หน้าตาของ Installer นั้นเป็นเพียง Apple Installer Package ที่ใช้ไอคอนมาตรฐานทั่วไป และยังอยู่ในรูปแบบของ Disk Image File โดยไม่จำเป็น ทำให้สามารถถูกปลอมแปลงโดย EvilQuest ให้ผู้ใช้งานนึกว่าเป็นของจริงได้
เมื่อเหยื่อติดตั้ง EvilQuest ไปโดยไม่รู้ตัวแล้ว EvilQuest ก็จะทำ Sandbox Check เพื่อตรวจจับการทำ Sleep-Patching ทันที และยังมีการใช้เทคนิค Anti-Debugging ในตัวเพื่อหลีกเลี่ยงจากการถูกเรียกใช้งานผ่าน Debugger ได้ รวมถึงยังสามารถหยุดการทำงานของ Security Software ที่ตรวจพบได้ และจะไม่ได้ทำการโจมตีอุปกรณ์ของเหยื่อทันทีที่ติดตั้งทำให้ผู้ใช้งานคาดเดาได้ยากว่าตนเองติด EvilQuest มาได้อย่างไร
ถ้าเหยื่อถูกเข้ารหัสไฟล์แล้ว EvilQuest จะให้โอกาสในการจ่ายเงินเรียกค่าไถ่มูลค่า 50 เหรียญในเวลา 72 ชั่วโมงเท่านั้น และถึงแม้จะจ่ายเงินไปแล้ว EvilQuest ก็ยังมีความสามารถในการโจมตีเครื่องของผู้ใช้งานต่อเนื่องอีกหลากหลายในอนาคต จึงไม่สามารถรับประกันได้เลยว่าหลังจากนี้จะถูกโจมตีซ้ำเติมอย่างไรอีกบ้าง
EvilQuest นี้ไม่ใช่ Ransomware ชนิดแรกที่โจมตีแต่ผู้ใช้งาน macOS เท่านั้น แต่ก่อนหน้านี้ก็เคยมี Ransomware อย่าง KeRanger และ Patcher ที่โจมตีเฉพาะผู้ใช้ macOS มาแล้ว ดังนั้นผู้ใช้ macOS เองก็อาจต้องระมัดระวังด้านความมั่นคงปลอดภัยของระบบบ้าง และควรจะต้องมีการ Backup ข้อมูลออกไปจัดเก็บเอาไว้ที่อื่นอยู่เสมอเพื่อรับมือกับเหตุไม่คาดฝัน
ที่มา: https://thehackernews.com/2020/07/macos-ransomware-attack.html