ينتشر فايروس الفدية EvilQuest Mac من خلال تطبيقات Mac المقرصنة

ينتشر فايروس الفدية EvilQuest Mac من خلال تطبيقات Mac المقرصنة

Share on facebook
Share on twitter
Share on google
Share on pinterest
Share on reddit
Share on telegram
Share on whatsapp
Share on facebook

بحسب التقرير الذي نشرته اليوم Malwarebytes، يسمى برنامج الفدية الجديد “EvilQuest” ، ونموذج التوزيع الأساسي من خلال تطبيقات Mac المقرصنة. تم اكتشاف أحدث تهديد أمني في البداية في إصدار مقرصن من تطبيق Mac Little Snitch ، والذي كان يتم مشاركته في منتدى روسي.

أدى تثبيت هذا الإصدار المقرصن من التطبيق إلى تمكين المثبت من الحصول على الإصدار الكامل من التطبيق نفسه ، ولكن بعد ذلك تضمن التثبيت أيضًا ملفًا تنفيذيًا إضافيًا يحمل اسم “patch”. تم تخزين هذا الملف في دليل Users / Shared ، بما في ذلك البرنامج النصي لما بعد التثبيت الذي أصاب الجهاز حيث تم تثبيت التطبيق.

كشف فحص هذا المثبت أنه سيقوم بتثبيت ما اتضح أنه تطبيقات مثبت وإلغاء التثبيت الصغيرة Little Snitch المشروعة ، بالإضافة إلى ملف قابل للتنفيذ يسمى “patch” ، في /Users/Shared/الدليل.

يحتوي المثبت أيضًا على برنامج نصي للتثبيت اللاحق — وهو برنامج نصي shell يتم تنفيذه بعد اكتمال عملية التثبيت. من الطبيعي أن يحتوي هذا النوع من المثبتات على برامج نصية للتثبيت المسبق و / أو ما بعد التثبيت ، للتحضير والتنظيف ، ولكن في هذه الحالة تم استخدام البرنامج النصي لتحميل البرامج الضارة ثم تشغيل مثبت Little Snitch الشرعي.

ثم ينقل برنامج التثبيت هذا “التصحيح” إلى موقع جديد منفصل ويعيد تسميته “CrashReporter”. هذه عملية macOS شرعية ، مما يعني أنها مخفية بشكل أساسي داخل مراقب النشاط. بمجرد الانتهاء من هذه العملية ، يتم تثبيتها في عدة مواقع داخل برنامج Mac.

بمجرد اكتمال البرنامج ، سيقوم برنامج الفدية بتشفير ملفات البيانات والإعدادات ، وهي عملية مشابهة لطريقة عمل Keychain – وهو برنامج شرعي آخر على نظام Mac. عند محاولة الوصول إلى iCloud Keychain ، سيُطلب من المستخدم خطأ ، والذي يمكنك رؤيته في الصورة أعلاه. بالإضافة إلى ذلك ، بدأ الإرساء في العبث ، جنبًا إلى جنب مع التطبيقات الأخرى ، وبدأ الباحث أيضًا في التصرف أيضًا.

يبدو أن المهاجمين وراء هذه الفدية الجديدة يطلبون 50 دولارًا للوصول إلى نظام الفدية. ومع ذلك ، يقول Malwarebytes أن برامج الفدية تعمل بشكل سيئ نسبيًا. كما أنه يشمل مسجل مفتاح ، والذي يمكنه تسجيل ضغطات المفاتيح التي يتم إدخالها عبر النظام وفي المواقع التي تمت زيارتها.

لدى Malwarebytes بعض الاقتراحات فقط في حالة انتهاء برنامج الفدية على نظامك (والذي يمكنك تجنبه من خلال عدم تثبيت تطبيقات Mac المقرصنة ، لواحد):

إذا أصبت بهذا البرنامج الضار ، فستحتاج إلى التخلص منه في أسرع وقت ممكن. سوف يكتشف Malwarebytes for Mac هذا البرنامج الضار باسم Ransom.OSX.EvilQuest وإزالته.

إذا تم تشفير ملفاتك ، فلسنا متأكدين من مدى صعوبة الوضع. يعتمد ذلك على التشفير وكيفية التعامل مع المفاتيح. من الممكن أن تؤدي الأبحاث الإضافية إلى طريقة لفك تشفير الملفات ، ومن الممكن أيضًا ألا يحدث ذلك.

أفضل طريقة لتجنب عواقب برامج الفدية هي الحفاظ على مجموعة جيدة من النسخ الاحتياطية. احتفظ بنسختين احتياطيتين على الأقل من جميع البيانات المهمة ، ويجب أن تكون نسخة واحدة على الأقل ليس البقاء على اتصال بجهاز Mac الخاص بك في جميع الأوقات. (قد تحاول Ransomware تشفير النسخ الاحتياطية على محركات الأقراص المتصلة أو إتلافها.)

في حين يبدو أن هذه ليست مشكلة واسعة الانتشار في الوقت الحالي ، فمن الجيد دائمًا أن تكون على علم بهذه المواقف عند اكتشافها. انتقل إلى تحقق من مشاركة مدونة Malwarebytes الكاملة إذا كنت تريد البحث في التفاصيل الدقيقة لهذه المحاولة الأخيرة لبرنامج الفدية.

0 0 vote
Article Rating
Subscribe
نبّهني عن
guest
0 تعليقات
Inline Feedbacks
View all comments

ينتشر فايروس الفدية EvilQuest Mac من خلال تطبيقات Mac المقرصنة