Tin tức chuyên ngành

Phát hiện mã độc EvilQuest mã hóa dữ kiệu trên MacOS

Mới đây, nhiều người dùng báo rằng họ đã bị dính mã độc tống tiền có tên gọi EvilQuest làm mã hoá dữ liệu người dùng và gây nhiều tổn hại đến hệ thống máy. Malwarebytes đã tiến hành phân tích mã độc này và kết luận nguồn gốc của nó đa phần xuất phát từ những phần mềm lậu đã bị kẻ xấu chỉnh sửa, xâm hại.

Mã độc này được phát hiện đầu tiên từ ứng dụng Little Snitch lậu, tải trên diễn đàn kéo Torrent của Nga. Khác với bình thường, file cài của ứng dụng này có định dạng cài PKG. Phân tích file PKG này, người ta phát hiện rằng file cài chứa một đoạn script hậu cài đặt (postinstall script). Thông thường, phần script hậu cài đặt này được lập trình viên sử dụng để tự xoá bộ cài sau khi đã hoàn tất cài đặt, nhưng trong trường hợp này đoạn script đã bị dùng cho mục đích xấu.

Tinh vi hơn, đoạn script copy một file vào đường dẫn /Library/LittleSnitchd/CrashReporter và sẽ khởi chạy dưới tên CrashReporter. Cái tên này giống hệt với một tiến trình chạy của hệ thống macOS nên người dùng khó có thể phát hiện ra.

Mã độc sẽ hoạt động ngay sau khi ứng dụng cài đặt xong, nó sẽ tiến hành chỉnh sửa các file hệ thống và mã hoá các dữ liệu của người dùng hòng tống tiền. Nạn nhân sẽ phải bỏ ra 50$ để phục hồi dữ liệu, nếu không dữ liệu sẽ bị xoá trong vòng 3 ngày. Hiện tại vẫn chưa tìm ra cách để giải mã các dữ liệu bị mất.

Không có cách nào để loại bỏ EvilQuest sau khi nó đã mã hóa dữ liệu mà không phải format ổ đĩa. Vì vậy, người dùng nên có kế hoạch sao lưu dữ liệu cũng như hạn chế sử dụng phần mềm lậu.

Theo 9to5mac.com

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.