พบ Ransomware ใหม่ EvilQuest มุ่งโจมตีผู้ใช้ Apple macOS ผ่านแอปเถื่อน

ทีมนักวิจัยทางด้าน Cybersecurity ได้ออกมาเผยถึงการค้นพบ Ransomware ชนิดใหม่ที่มีชื่อเรียกว่า EvilQuest ซึ่งมุ่งเน้นการโจมตีผู้ใช้งาน macOS โดยเฉพาะ โดยมีการแพร่กระจายผ่านมา Application ผิดลิขสิทธิ์หรือแอปเถื่อนนั่นเอง

Credit: Malwarebytes

รายงานของนักวิจัยจาก K7 Lab ได้แก่ Dinesh Devadoss, Patrick Wardle และ Malwarebytes ได้ระบุว่า EvilQuest นี้เป็น Ransomware ที่มักถูกแนบมากับ Application ปกติ และปลอมตัวเองเป็น Apple CrashReporter หรือ Google Software Update ในระหว่างที่ทำการติดตั้ง Application นั้นๆ ซึ่งนอกจากจะมีความสามารถในการเข้ารหัสข้อมูลของเหยื่อแล้ว ก็ยังแฝงความสามารถในการฝังตัวเอาไว้อย่างแนบเนียน, บันทึกข้อมูลการพิมพ์, สร้าง Reverse Shell และยังสามารถทำการขโมยไฟล์ต่างๆ ที่เกี่ยวข้องกับ Cryptocurrency Wallet ได้อีกด้วย

EvilQuest นี้อาศัยการแนบตัวมากับ Application ที่เป็นที่นิยมแจกฟรีบนเว็บ Torrent อย่างเช่น Little Snitch, Mixed In Key 8 และ Ableton Live โดยทีมวิจัยได้ยกตัวอย่างของวิธีการที่ผู้พัฒนา EvilQuest ใช้ เช่นใน Installer ของ Little Snitch ที่ถึงแม้จะออกแบบมาเป็นอย่างดี แต่ก็มีจุดอ่อนที่หน้าตาของ Installer นั้นเป็นเพียง Apple Installer Package ที่ใช้ไอคอนมาตรฐานทั่วไป และยังอยู่ในรูปแบบของ Disk Image File โดยไม่จำเป็น ทำให้สามารถถูกปลอมแปลงโดย EvilQuest ให้ผู้ใช้งานนึกว่าเป็นของจริงได้

เมื่อเหยื่อติดตั้ง EvilQuest ไปโดยไม่รู้ตัวแล้ว EvilQuest ก็จะทำ Sandbox Check เพื่อตรวจจับการทำ Sleep-Patching ทันที และยังมีการใช้เทคนิค Anti-Debugging ในตัวเพื่อหลีกเลี่ยงจากการถูกเรียกใช้งานผ่าน Debugger ได้ รวมถึงยังสามารถหยุดการทำงานของ Security Software ที่ตรวจพบได้ และจะไม่ได้ทำการโจมตีอุปกรณ์ของเหยื่อทันทีที่ติดตั้งทำให้ผู้ใช้งานคาดเดาได้ยากว่าตนเองติด EvilQuest มาได้อย่างไร

ถ้าเหยื่อถูกเข้ารหัสไฟล์แล้ว EvilQuest จะให้โอกาสในการจ่ายเงินเรียกค่าไถ่มูลค่า 50 เหรียญในเวลา 72 ชั่วโมงเท่านั้น และถึงแม้จะจ่ายเงินไปแล้ว EvilQuest ก็ยังมีความสามารถในการโจมตีเครื่องของผู้ใช้งานต่อเนื่องอีกหลากหลายในอนาคต จึงไม่สามารถรับประกันได้เลยว่าหลังจากนี้จะถูกโจมตีซ้ำเติมอย่างไรอีกบ้าง

EvilQuest นี้ไม่ใช่ Ransomware ชนิดแรกที่โจมตีแต่ผู้ใช้งาน macOS เท่านั้น แต่ก่อนหน้านี้ก็เคยมี Ransomware อย่าง KeRanger และ Patcher ที่โจมตีเฉพาะผู้ใช้ macOS มาแล้ว ดังนั้นผู้ใช้ macOS เองก็อาจต้องระมัดระวังด้านความมั่นคงปลอดภัยของระบบบ้าง และควรจะต้องมีการ Backup ข้อมูลออกไปจัดเก็บเอาไว้ที่อื่นอยู่เสมอเพื่อรับมือกับเหตุไม่คาดฝัน

ที่มา: https://thehackernews.com/2020/07/macos-ransomware-attack.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …

ฟรี eBook: คู่มือ PDPA สำหรับประชาชน

หลังจากเปิดให้ดาวน์โหลด eBook เรื่อง “คู่มือ PDPA สำหรับผู้ประกอบการ SMEs” ไปเมื่อไม่กี่วันที่ผ่านมา ล่าสุดสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ออก eBook อีกฉบับเรื่อง “คู่มือ PDPA สำหรับประชาชน” …