ThiefQuest - Mã độc mới nhất tấn công tống tiền các thiết bị macOS

Được biết đến với tên ThiefQuest, phần mềm độc hại nhắm vào các thiết bị macOS như MacBook, sau đó sẽ mã hóa toàn bộ hệ thống và đánh cắp dữ liệu có giá trị trên thiết bị của người dùng.

Nếu nạn nhân không chi ra một số tiền chuộc nhất định để lấy lại các file dữ liệu đã bị đánh cắp, thì ThiefQuest sẽ ngay lập tức xóa hoàn toàn thiết bị của nạn nhân. Tuy nhiên, “vỏ quýt dày có móng tay nhọn”, chúng ta vẫn có thể ngăn chặn được điều đó.

Phần mềm độc hại ThiefQuest.

ThiefQuest lần đầu tiên được phát hiện bởi các nhà nghiên cứu tại công ty bảo mật SentinelOne sau khi tiến hành một cuộc điều tra toàn diện về phần mềm độc hại này. Tuy nhiên, họ đã phát hiện ra kẽ hở trong quá trình gửi tin nhắn “tống tiền” nạn nhân của ThiefQuest.

Tương tự như các tin tặc khác, nó yêu cầu các nạn nhân trả 50 USD trong vòng 72 giờ nếu họ muốn chuộc lại các tập tin đã bị đánh cắp. Tuy nhiên, nó lại không hề cung cấp bất kỳ email liên hệ nào để nạn nhân có thể giải mã sau khi thanh toán tiền chuộc mà chỉ gửi một link dẫn đến tệp ReadMe có chứa thông tin chi tiết về một ví Bitcoin để gửi tiền chuộc.

Nghiên cứu của SentinelOne cho thấy ThiefQuest (ban đầu được gọi là EvilQuest) đã sử dụng phương thức mã hóa tùy chỉnh, mà điểm lạ đó là mã code của phần mềm này hoàn toàn không liên quan đến các phương thức mã hóa khóa công khai thường được sử dụng cho các cuộc tấn công như vậy.

Các nhà nghiên cứu phát hiện ra ThiefQuest đã thực hiện tìm kiếm trong thư mục / Users của hệ thống để đánh cắp các tệp, với các tệp tin có đuôi như .doc, .pdf. Tuy nhiên, các tệp này chỉ được mã hóa bởi một công cụ mã hóa đơn giản, đó là chỉ thêm một khối dữ liệu bổ sung có chứa khóa mã hóa / giải mã.

Sau khi phát hiện bí mật này, các nhà nghiên cứu của SentinelOne đã phát triển một bộ giải mã đơn giản. Người dùng macOS có thể tải xuống miễn phí và sử dụng để lấy lại tập tin gốc đã bị đánh cắp.