اكتشف باحثو الأمن هذا الأسبوع سلالة جديدة من برامج الفدية الخبيثة تستهدف مستخدمي أجهزة "أبل" الذكية، وخصوصا أصحاب أجهزة "ماك".
يُسمى البرنامج الخبيث OSX.EvilQuest، وهو برنامج فدية مختلف عن التهديدات التي اقتربت من "ماك" سابقا، لأنها إلى جانب تشفير ملفات الضحية، تثبت برنامج keylogger لسرقة الملفات المتعلقة بمحفظة العملة المشفرة من المضيفين المصابين، بحسب موقع "ZDNet" المتخصص في التكنولوجيا.
وقال باتريك واردل، باحث الأمن الرئيسي في شركة "جامف": "مسلحا بهذه القدرات، يمكن للمهاجم السيطرة الكاملة على مضيف مصاب، وهذا يعني أنه حتى لو دفع الضحايا أموالا، سيظل بإمكان المهاجم الوصول إلى أجهزة الكمبيوتر الخاصة بهم والاستمرار في سرقة الملفات".
ومن بين الأشخاص الآخرين الذين يحققون في Evil Quest، توماس ريد، الباحث السيبراني المتخصص في أجهزة "ماك" في أكثر من منصة تكنولوجية أمنية، وهو مهتم حاليًا بالعثور على ضعف أو خلل في نظام تشفير برنامج الفدية الخبيث يمكن استغلاله لإنشاء برنامج فك تشفير ومساعدة الضحايا المصابين على استرداد ملفاتهم دون دفع الفدية.
والباحث الذي اكتشف لأول مرة برنامج Evil Quest الخبيث هو باحث الأمن ريد دانيش ديفادوس، الذي أعلن عن اكتشافه أمس، وذكر أن هناك أدلة جديدة كشفت أن Evil Quest موجود منذ بداية يونيو 2020.
وأخبر ريد "ZDNet" أنه عثر على Evil Quest مخفيًا داخل برنامج "ماك" مقرصن تم تحميله على بوابات التورنت والمنتديات عبر الإنترنت، في حزمة برامج تسمى Google Software Update، وجد عينات من Evil Quest داخل إصدار مقرصن من برنامج DJ الشهير Mixed In Key، ورصده أيضا مخفيًا داخل أداة أمان "ماك" تسمى Little Snitch.
ومع ذلك، شدد ريد على أنه يعتقد أن برنامج الفدية هذا موزع على نطاق واسع على الأرجح، مستفيدًا من العديد من التطبيقات الأخرى، وليس فقط ما ذكر.
وذكرت تحليلات تقنية متعمقة أخرى لـ Evil Quest أنه واضح جدًا أنه يتحرك لتشفير ملفات المستخدم بمجرد تنفيذها، وبمجرد انتهاء نظام تشفير الملفات، تظهر نافذة منبثقة للمستخدم، تخبر الضحية بأنهم مصابون وملفاتهم مشفرة، ويتم توجيه الضحية لفتح ملاحظة فدية في شكل ملف نصي تم وضعه على سطح المكتب الخاص بهم، يبدو كالتالي:
وبعد انتهاء عملية التشفير، يثبت برنامج الفدية "كلوجر" لتسجيل جميع ضغطات مفاتيح المستخدم، وصدفة عكسية حتى يتمكن المهاجم من الاتصال بالمضيف المصاب وتشغيل أوامر مخصصة، ولاحظ ريد أيضًا أنه يحاول تعديل الملفات الخاصة بآلية تحديث Google Chrome، واستخدام الملفات كشكل من أشكال الثبات على المضيفين المصابين.
ولكن لحسن الحظ ذكر متخصصون أسسوا العديد من أدوات الأمان في "ماك" مفتوحة المصدر، أن أداة أطلقت في عام 2016، تسمى Ransom Where، يمكنها اكتشاف Evil Quest وإيقاف تشغيله.
تعليقات الفيسبوك