K7 بدافزاری جدید با هدف قرار دادن کاربران macOS اپل
تاریخ انتشار: ۲۲ تیر ۱۳۹۹ | کد خبر: ۲۸۶۰۰۱۱۶
ایتنا - محققان امنیت سایبری نوع جدیدی از باج افزارها را بررسی کردهاند که کاربران ماکرو را هدف قرار داده است که از طریق برنامههای Pirated منتشر میشود.
براساس گزارشات به دست آمده از محققان بدافزار K7 همراه با برنامههای معتبر دیگری تهیه شده است که پس از نصب، خود را با عنوان Apple CrashReporter یا Google Software Update نمایش میدهد.
بیشتر بخوانید:
اخباری که در وبسایت منتشر نمیشوند!
به گزارش ایتنا از پایگاه اطلاع رسانی پلیس فتا، این بدفزار پس از نصب علاوه بر رمزگذاری پروندههای قربانی، همچنین دارای امکاناتی مانند ثبت ورودها از طریق صفحه کلید، ورود به سیستم، ایجاد یک پوسته معکوس و سرقت فایل های مربوط به کیف پول است.
با این پیشرفت، EvilQuest به تعداد کمی از سویههای باج افزار که به طور انحصاری از macOSها، از جمله KeRanger و Patcher جدا شدهاند، میپیوندد.
به نظر میرسد منبع این بدافزار نسخههای تروجان شده نرم افزارmacOS مانندLittle Snitch ، یک نرم افزار DJ به نام Mixed In Key 8 و Ableton Live است که در سایتهای مورد نظر تورنت توزیع میشود.
کارشناسان معتقد هستند: این بدافزار در زمان شروع نصب به صورت زیبای و حرفهای بسته بندی شده است و دارای یک نصب کننده سفارشی خوب است. با این حال، این نصب کننده یک بسته نصب ساده اپل با یک آیکون عمومی است. بدتر اینکه، بسته نصب کننده به طور عجیبی در یک فایل تصویری دیسک توزیع میشود.
EvilQuest پس از نصب بر روی میزبان آلوده، یک پروسه را که در حال انجام است شناسایی و به روشی عمل میکند تا این گونه به نظر برسد که برنامه در حال اجرا با مشکل مواجهه شده است.
کارشناسان نیز میگویند: به عنوان مثال، اولین باج افزار مک، KeRanger ، بین آلوده شدن سیستم و شروع به رمزگذاری پروندهها سه روز طول کشید. این فاصله زمانی به پنهان کردن منبع بدافزار کمک میکند، زیرا ممکن است این رفتار بلافاصله مخرب نباشد و احتمال اینکه با با یک برنامه نصب شده سه روز قبل مرتبط باشد.
این بدافزار قادر است هرگونه نرم افزار امنیتی (مانند Kaspersky -Norton -Avast - DrWeb - McAfee - Bitdefender و (Bullguard را که ممکن است چنین رفتارهای مخرب را روی سیستم تشخیص داده یا مسدود کنند، از بین میبرد و برای شروع مجدد تخریب سیستم قربانی، این بدافزار به طور خودکار هر بار که کاربر وارد سیستم شوید شروع به فعالیت میکند.
در آخرین مرحله، EvilQuest نسخهای از خود را راه اندازی میکند و شروع به رمزگذاری پروندهها، شمارش کیف پول و پروندههای مربوط به keychain می کند. در پایان در طول 72 ساعت درخواست پرداخت 50 دلار داده میشود تا پرونده سیستم قربانی را رمزگشایی کند.
اما ویژگیهای EvilQuest فراتر از باج افزار معمولی است، از جمله امکان برقراری ارتباط با سرور فرمان و کنتر برای اجرای دستورات از راه دور، شروعkeylogger ، ایجاد یک پوسته معکوس و حتی اجرای بارهای مخرب به طور مستقیم خارج از حافظه در چنین حالتی و با داشتن این قابلیتها، مهاجم میتواند کنترل کامل بر روی یک میزبان آلوده را حفظ کند.
در حالی که کار برای یافتن یک ضعف در الگوریتم رمزگذاری برای ایجاد رمزگشایی در نظر گرفته شده است، توصیه می شود کاربران macOS برای جلوگیری از از دست رفتن دادهها، نسخه پشتیبان تهیه کنند و برای خنثی کردن چنین حملات از ابزاری مانند RansomWhere استفاده کنند.
در پایان باید گفت: بهترین راه برای جلوگیری از پیامدهای باج افزار این است که مجموعه خوبی از نسخه پشتیبان تهیه کنید. حداقل دو نسخه پشتیبان از کلیه دادههای مهم را نگه دارید.
منبع: ايتنا
کلیدواژه: بدافزار بدافزار K7 باج افزار پرونده ها
درخواست حذف خبر:
«خبربان» یک خبرخوان هوشمند و خودکار است و این خبر را بهطور اتوماتیک از وبسایت www.itna.ir دریافت کردهاست، لذا منبع این خبر، وبسایت «ايتنا» بوده و سایت «خبربان» مسئولیتی در قبال محتوای آن ندارد. چنانچه درخواست حذف این خبر را دارید، کد ۲۸۶۰۰۱۱۶ را به همراه موضوع به شماره ۱۰۰۰۱۵۷۰ پیامک فرمایید. لطفاً در صورتیکه در مورد این خبر، نظر یا سئوالی دارید، با منبع خبر (اینجا) ارتباط برقرار نمایید.
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت «خبربان» مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویر است، مسئولیت نقض حقوق تصریح شده مولفان در قانون فوق از قبیل تکثیر، اجرا و توزیع و یا هر گونه محتوی خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.
خبر بعدی:
کلاهبرداری با ارسال لینک جعلی ورود به نرمافزار کالابرگ
سرهنگ عمار قهاری با اشاره به مراجعه چندین شهروند کرمانی و تشکیل پرونده با موضوع سرقت از حساب و کلاهبرداری، گفت: نقطه اشتراک اکثر این پروندهها، سرقت اطلاعات حساب و برداشت غیرمجاز وجه پس از دریافت پیامک کالابرگ عیدانه بوده است.
وی افزود: مجرمین سایبری با ارسال پیام در شبکههای اجتماعی و یا ارسال پیامک و قراردادن لینکهای آلوده به بدافزار و در نهایت ورود یا نصب نرمافزار کالابرگ، افراد را به درگاههای جعلی هدایت کرده و در ازای دریافت مبالغ اندک برای فعالسازی نرمافزار، اطلاعات حساب را سرقت کرده و اقدام به خالیکردن حساب میکنند.
جانشین پلیس فتا در این خصوص به کاربران توصیه کرد: بههیچعنوان نرمافزارهایی که در شبکههای اجتماعی برایشان ارسال میشود یا در گروهها و کانالها قرار داده شده را نصب نکنند و نرمافزارها را از منابع معتبر و تأیید شده دانلود کنند و همچنین از ورود به لینکهای ارسال شده توسط افراد ناشناس و همچنین دوستان و آشنایان خودداری کنند.