btbilgi

Sadece macOS kullanıcılarını hedef alan fidye yazılımı türleri pek fazla değil. Hatta ‘KeRanger’ ve ‘Patcher‘dan sonra bunlardan üçüncüsü daha yeni saptandı. Güvenlik araştırmacılarının bu hafta keşfettiği ‘OSX.ThiefQuest’ (diğer adı ile EvilQuest), önceki macOS fidye yazılımı tehditlerinden farklı. ThiefQuest’in kurban bilgisayardaki dosyaları şifrelemenin yanı sıra başka işlevleri de olduğu raporlanmakta. Bunlar arasında klavye vuruşlarını kaydetme ve kriptopara birimi cüzdanı olan bilgisayarlardan dosya çalma da var.

ThiefQuest yazılımını ilk tespit eden araştırmacı, K7 Lab’den güvenlik araştırmacısı Dinesh Devadoss. 29 Haziran’da ilk duyuruyu Twitter’dan yapan Devadoss, yazılımın Haziran 2020’nin başından beri yayılmakta olduğunu aktarıyor.

Yazılımı araştıran güvenlik firmalarından Jamf, gelişmiş yeteneklerle donanmış bu yazılımın bulaştığı bilgisayarı tamamen kontrol edebileceğini söylemekte. Fidye yazılımı tarafı işini bitirse ve kurban fidyeyi ödese bile problem sona ermiyor. Çünkü saldırganlar bilgisayarlara erişmeye devam ediyorlar. ThiefQuest’in bir teknik analizini yayımlayan Jamf, yazılımın oldukça basit bir yapıya sahip olduğunu olduğunu ve kullanıcının çalıştırması ile hemen sabit diski şifrelemeye başladığını ifade etmiş.

Şifreleme bittiğinde, kullanıcıya dosyalarının şifreli hale getirildiğini bildiren bir pop-up pencere gösteriliyor. Şifrelenen dosya türlerinin bazıları çok popüler imaj ve ofis programlarına ait (.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat)

ThiefQuest: macOS sistemine saldıran fidye yazılımı

Şifrelemenin ardından yazılımı kullanıcının tuş vuruşlarını kaydetmek için bir keylogger ve siber saldırganların bilgisayara bağlanıp özel komutlar çalıştırabilmesi için bir ters kayıt cihazı yüklüyor. Bununla beraber kriptopara cüzdan uygulamaları tarafından kullanılan ‘Wallet.pdf’, ‘Wallet.png’ ve ‘Key.png’ gibi dosyaları bulup çamaya çalışıyor. Bir diğer becerisi ise Google Chrome’un güncelleme mekanizmasına ait dosyaları değiştirmeye çalışmak olarak saptanmış.

ThiefQuest’i inceleyen firmalar arasında Malwarebytes ve SentinelOne da yer alıyor. Malwarebytes fidye yazılımını torrent portallarına ve online forumlara yüklenen korsan macOS uygulamaları içinde bulduklarını belirtmekte. Bunlar arasında müzik uygulaması Ableton, DJ uygulaması Mixed In Key ve güvenlik aracı Little Snitch de var. Yazılımın bunlar dışında başka uygulamalar ve yöntemlerle dağıtıldığı da verilen bilgiler arasında.

Araştırmacılar ThiefQuest’in içinde kurbanların siber suçlularla iletişim kurabileceği ya da ödemelerin takip edilebileceği bir yöntem olmadığını da ayrıntı bilgi olarak veriyor. Yani ödeme yapan kurbanlar dosyalarını kurtarmak için bir şifre çözme anahtarı alamayabilir. Bu da kurbanlar fidye ödeseler bile, dosyalarını kurtarmanın bir yolunu asla bulamayabilir anlamına gelmekte.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.