بررسی باج افزار EvilQuest
1399/4/18 چهارشنبهباجافزارها نوعی از بدافزارهای مخرب هستند که به سیستمهای رایانهای را مورد حمله قرار داده و اطلاعات را از دسترس کاربر خارج میکنند. باجافزار به منظور آزادسازی فایلها و دسترسی کاربر به آنها، درخواست پرداخت وجه (باج) به حساب طراح باجافزار میکند. یکی از روشهای آلودگی سیستمها به باج افزار این است که نفوذگر از طریق ارسال ایمیل یا پیام، کاربر را به کلیک روی یک لینک خاص تشویق میکند؛ کلیک روی لینک مربوطه باعث میشود باجافزار پنهان شده در لینک، به سیستم یا تلفن همراه وارد شده و باعث سوءاستفاده از اطلاعات یا از بین رفتن آنها شود.
کلیات
باجافزارها نوعی از بدافزارهای مخرب هستند که به سیستمهای رایانهای را مورد حمله قرار داده و اطلاعات را از دسترس کاربر خارج میکنند. باجافزار به منظور آزادسازی فایلها و دسترسی کاربر به آنها، درخواست پرداخت وجه (باج) به حساب طراح باجافزار میکند. یکی از روشهای آلودگی سیستمها به باج افزار این است که نفوذگر از طریق ارسال ایمیل یا پیام، کاربر را به کلیک روی یک لینک خاص تشویق میکند؛ کلیک روی لینک مربوطه باعث میشود باجافزار پنهان شده در لینک، به سیستم یا تلفن همراه وارد شده و باعث سوءاستفاده از اطلاعات یا از بین رفتن آنها شود.
بهطور معمول زمانی که سیستمی به باجافزار آلوده شود قربانی راهی جز فرمت سیستم (که باعث از بین رفتن تمامی اطلاعات میشود) و یا پرداخت باج ندارد.
باجافزارها بهصورت روزافزون در حال رشد و انتشار هستند و نسخههای جدید آنها مرتباً در سطح اینترنت منتشر میگردد. لازم به ذکر است که طراحان باجافزار به دلیل استفاده از روشهای دریافت وجه بهصورت مجازی به راحتی قابل شناسایی نیستند. در این مستند به بررسی یک باجافزار اخیراً منتشرشده به نام EvilQuest که کاربران سیستمعامل mac را هدف میگیرد، میپردازیم.
باجافزار EvilQuest
این باجافزار با تهدیدات باج افزارهای قبلی macOS متفاوت است زیرا علاوه بر رمزگذاری پروندههای قربانی، keylogger و shell معکوس برای کنترل کامل میزبانهای آلوده را در سیستم قربانی اعمال کرده و فایلهای مربوط به کیف پول cryptocurrency را از میزبان آلوده نصب میکند.
مهاجم با این قابلیتها میتواند کنترل کاملی بر یک میزبان آلوده داشته باشد؛ این بدان معناست که حتی در صورت پرداخت باج توسط قربانیان، همچنان به رایانه آنها دسترسی داشته و به سرقت فایلها و ضربات صفحه کلید ادامه میدهد.
محققان در حال حاضر به دنبال ضعف یا اشکالی در طرح رمزگذاری این باجافزار هستند که میتواند برای رمزگشایی مورد استفاده قرار گرفته و به قربانیان کمک کنند تا فایلهای خود را بدون پرداخت باج بازیابی کنند.
در این نوع از باجافزار امکان تماس با عاملان باجافزار یا پیگیری پرداخت باجها وجود ندارد. این بدان معنی است که پس از پرداخت باج توسط قربانیان، احتمالاً کلید رمزگشایی برای بازیابی پروندههای به سرقت رفته در اختیار آنها قرار نمیگیرد.
تا زمانی که محققان راهی برای شکستن رمزنگاری و بازیابی فایلهای آنها بیابند، فایلهای قربانیان غیرقابل دسترسی خواهد بود.
این باجافزار سومین باجافزاری است که پس از KeRanger و Patcher منحصراً کاربران macOS را هدف قرار داده است و در تاریخ 2 ژوئیه از EvilQuest به ThiefQuest، تغییر نام پیدا کرد.
روش بهره برداری
باج افزار EvilQuest توسط محقق امنیتی به نام Dinesh Devadoss کشف و گزارش گردیده است. با این حال، شواهد نشان میدهد که این باجافزار، از ابتدای ژوئن سال 2020 مورد بهرهبرداری قرار گرفته است. به گفته محققان این باجافزار در یک نرمافزار macOS سرقت شده که در پورتالها و انجمنهای آنلاین (مانند برنامه تولید موسیقی Ableton، نرمافزار DJ Mixing In Key و ابزار امنیتی Little Snitch) آپلود شده است، مخفی میشود.
شکل شماره 1: انجمن روسی سرقت شده توسط این باجافزار

باجافزار EvilQuest به طور گستردهای توزیع شده و بر سایر برنامهها بجز موارد مذکور نیز تأثیر میگذارد. فعالیت این بدافزار بسیار ساده است؛ زیرا به محض اجرای برنامه، رمزگذاری پروندههای کاربر صورت میگیرد. پس از اتمام رمزگذاری فایل، در پنجره نمایش داده شده به کاربر اعلام میدارد که نرمافزار آنها آلوده و رمزنگاری شده است.
شکل شماره 2: اعلام آلوده شدن نرمافزار

مهاجمان از قربانی درخواست میکنند که یک یادداشت باج متنی ذخیره شده در دسکتاپ خود را باز کنند. این یادداشت در شکل شماره 3 مشاهده میشود:
شکل شماره3-یادداشت باج

این بدافزار فایلهای موجود با پسوندهای زیر را رمز میکند:
.pdf، .doc، .jpg، .txt، .pages، .pem، .cer، .crt، .php، .py، .h، .m، .hpp، .cpp، .cs، .pl، .p، .p3، .html، .webarchive، .zip، .xsl، .xslx، .docx، .ppt، .pptx، .keynote، .js، .sqlite3، .wallet، .dat
پس از پایان فرآیند رمزنگاری، یک فایل keylogger جهت ضبط کلیه ضربات صفحهکلید و یک shell معکوس بهمنظور اتصال به کلیه میزبانهای آلوده شده و اجرای دستورات سفارشی در سیستم قربانی، اعمال شده و با استفاده از آن انواع فایلهای معمولی زیر که معمولاً توسط برنامههای مربوط به cryptocurrency استفاده میشوند سرقت میشود:
· "wallet.pdf"
· "wallet.png"
· "key.png"
· "*.p12"
باجافزار تلاش میکند که فایلهای خاص مربوط به مکانیسم بهروزرسانی گوگل کروم را تغییر داده و از این فایلها به منظور پایداری در میزبان آلوده استفاده کند. این فایلها دارای محتوای فایل وصله بوده و کد مخرب پس از اجرای هر کدام از این فایلها اجرا خواهد شد. با این حال نرمافزار کروم پس از اجرا، فایلهای تغییر یافته را با یک کپی آلوده نشده از آنها جایگزین میکند؛ بنابراین هدف باجافزار از این مرحله مشخص نیست.
منبع :
https://www.zdnet.com/article/new-evilquest-ransomware-discovered-targeting-macos-users/