Apple | Malware | Ransomware

Ransomware ThiefQuest cílí na počítače od Applu. Umí zachytávat hesla a čísla kreditních karet

Většina škodlivých aplikací typu ransomware cílí na zařízení s Windows, zatímco počítače Apple Mac zůstávají tak trochu stranou pozornosti. První malware, šifrující soubory a požadující zaplacení výkupného, tak byl objeven teprve před čtyřmi lety. Magazín Wired informuje o nové hrozbě, mířící na „jablečné počítače“ – ransomwaru ThiefQuest, původně označovaném jako EvilQuest.

Kromě funkcí, jež jsou pro tento typ škodlivé aplikace typické, má i řadu dalších spywarových schopností. Například hledá v systému hesla, údaje o peněženkách na kryptoměny a jeho součástí je i robustní keylogger, který umí zachytávat hesla, čísla kreditních karet nebo jiné informace zadávané přes klávesnici.

Ransomware pro jablko

Spywarová komponenta na infikovaných zařízeních funguje jako backdoor, což znamená, že se je aktivní i po restartu počítače a může být vzdáleně použita k dalším útokům. Vzhledem k tomu, jak je ransomware na počítačích Mac vzácný, překvapuje tato novinka svými širokými schopnostmi.

Hlavní výzkumný pracovník v oblasti zabezpečení společnosti Jamf Patrick Wardle, který analyzoval zdrojové kódy, je přesvědčen, že aplikace byla původně navržena jako malware, sloužící ke vzdálenému ovládání počítače. Až později k ní byly přidány funkce typické pro ransomware jako způsob, jak vydělat peníze. Ransomwarová komponenta se však zdá být neúplná či nedokončená.

Dobrou zprávou je, že ThiefQuest není schopen samovolného šíření mezi počítači. Uživatelé si ho mohou nainstalovat například s upirátěným softwarem, který je distribuován na torrentových serverech. Samotný malware je navržen tak, aby vypadal jako „Program aktualizace softwaru Google“. K úspěšné instalaci je ale nutné potvrdit celou řadu varovných bezpečnostních dialogů.

Odporuje logice

Wardle ve své analýze zjistil, že ačkoli malware obsahuje všechny komponenty, které jsou nezbytné pro dešifrování souborů, nezdá se, že by mohly fungovat. V kódu také chybí jakýkoli kontakt, přes který by mohla oběť komunikovat s útočníky ohledně získání dešifrovacího klíče.

Tato metoda šíření očividně není příliš efektivní. Podle bezpečnostních expertů se nezdá, že by infikované aplikace zaznamenaly významný počet stažení. Zatím také nikdo nezaplatil výkupné na bitcoinovou adresu, kterou útočníci poskytují.

Odborníky též zaujala poněkud nelogická kombinace spywaru a ransomwaru. Je přinejmenším poněkud zvláštní snažit se špehovat uživatele a současně s tím mu zašifrovat soubory a upozornit ho na infiltraci požadavkem na výkupné. V takové situaci se asi jen mimořádně nezkušený uživatel odváží pracovat s internetovým bankovnictvím nebo kamkoli zadávat číslo své platební karty.

Diskuze (9) Další článek: Na vývoji Chromu se stále více podílí Microsoft. Je to dobré pro všechny

Témata článku: , , , , , , , , , , , , , , , , , ,