Thiefquest Mac Ransomware és visszafejtés

A Thiefquest annak a ransomware-törzsnek a neve, amely még 2020-ban körbejárt. A rosszindulatú programot eredetileg ransomware-nek gondolták, mivel figyelmeztető üzenetet jelenít meg, és váltságdíjas jegyzetet dob le róla. Közelebbi elemzésből azonban kiderült, hogy a rosszindulatú program nem éppen ransomware, hanem inkább ablaktörlő.

Annak ellenére, hogy a Thiefquest figyelmeztető üzenetet jelenít meg mind a Windows, mind a Mac rendszeren, és ledob egy READ_ME_NOW.txt nevű váltságdíjas jegyzetet az asztalra, és a váltságjegyben lesz egy bitcoin pénztárca, a biztonsági kutatók felfedték, hogy ez a pénz inkább adomány a rosszindulatú programot működtető rossz szereplőknek.

Az elemzés azt mutatta, hogy a Thiefquest nem rendelkezik megfelelő infrastruktúrával és szilárd azonosítókkal, amelyekkel valaha is azonosíthatná, hogy melyik áldozat fizette be.

A kutatók úgy vélik, hogy a váltságdíjas jegyzet inkább a füstvédőhöz hasonlít, hogy elfedje a rosszindulatú program valódi célját - az adatok kiszűrését és a lopást.

MacOS rendszerek esetében a Thiefquest hamis, rosszindulatú programokkal telepített alkalmazás-telepítőkben kerül terjesztésre, és olyan népszerű alkalmazásoknak adják ki magukat, mint az Ableton Live és a Mixed In Key - mindkettő kíváncsian a zene gyártásában dolgozó emberekre irányul.

Miután telepítette az áldozat számítógépére, a Thiefquest elkezdte a fájlok titkosítását, és végül megjelenített egy előugró ablakot, amelyben az üzenet és a váltságdíjas bankjegy neve szerepel, valamint 50 dollár fizetési igényre.

A jelenlegi rosszindulatú program-környezetben, ahol a fenyegetés szereplői több millió dolláros vállalatokat és szervezeteket vesznek célba, az 50 dolláros váltságdíjas igények nevetségesnek tűnnek, de a ransomware, mint például a Thiefquest, nem célzott támadási eszköz. Míg a legtöbb modern ransomware-üzemeltető gondosan kutatja célpontjait és precíziós támadásokat hajt végre, az olyan ransomware-eket, mint a Thiefquest, rosszindulatú spam kampányok vagy online tárolt rosszindulatú letöltések útján terjesztik.

További kutatások kimutatták, hogy a Thiefquest kódja nem tartalmaz hívásokat a visszafejtési rutinhoz, így gyakorlatilag nincs mód a titkosított fájlok visszaállítására úgy, hogy pénzt küldenek a ransomware-üzemeltetőknek.

A Thiefquest érdekessége, hogy valójában futtatható fájlokat keres és rosszindulatú kódokat fűz hozzájuk, vírusszerű viselkedést kölcsönözve neki, és a MacOS rendszereket érintő nagyon kevés vírusszerű kártevő-törzs egyikévé teszi.

A Mac-felhasználók számára online elérhető a Thiefquest ingyenes dekódoló eszköze. Az eszközt a kiberbiztonsági vállalat, a SentinelOne fejlesztette ki, és a visszafejtési funkció megtalálásán alapult a rosszindulatú program kódjában. Az eszközt ingyenesen letöltheti az internetről, és felhasználhatja annak a rendszernek a visszafejtésére, amelyet a Thiefquest rosszindulatú program érintett.