Vorige week lieten onderzoekers weten dat ze een nieuw ransomware-exemplaar voor macOS hadden ontdekt, maar er zijn steeds meer aanwijzingen dat het hier niet om echte ransomware gaat. De ThiefQuest-malware, die eerst nog EvilQuest werd genoemd, zat verborgen in installatieprogramma's voor firewall Little Snitch, dj-software Mixed In Key 8 en muziekprogramma Ableton Live. De software wordt via torrents verspreid.
Zodra gebruikers de installatieprogramma's downloaden en openen wordt de genoemde software geïnstalleerd, alsmede de ransomware. Die schakelt eerst verschillende beveiligingsprogramma's uit, zoals Little Snitch en verschillende antivirusproducten. Vervolgens versleutelt de ransomware allerlei bestanden en laat een bericht achter waarin staat dat de gebruiker 50 dollar voor het ontsleutelen van zijn bestanden moet betalen. De losgeldinstructies worden ook via de voorleesfunctie van macOS voorgelezen.
Verder bleek de malware toetsaanslagen op te kunnen slaan en een backdoor op het systeem te openen. Er zijn echter verschillende aanwijzingen waarom onderzoekers nu denken dat het hier niet om echte ransomware gaat. Ten eerste is het bedrag van vijftig dollar vrij laag in vergelijking met wat andere ransomware-exemplaren vragen. De instructies die de ransomware achterlaat bevatten daarnaast geen e-mailadres, waardoor slachtoffers geen contact met de aanvaller kunnen opnemen.
Verder blijkt dat op alle besmette systemen hetzelfde bitcoin-adres wordt gebruikt waar slachtoffers het geld naar toe moeten overmaken voor het ontsleutelen van bestanden. Dit houdt in dat de aanvaller niet kan controleren wie het losgeld heeft betaald. Daarnaast beschikt de malware wel over een decryptieroutine voor het ontsleutelen, maar wordt die nergens in de malwarecode aangeroepen. Ook zijn er twijfels over het encryptieproces. In sommige gevallen stelt de malware dat er bestanden zijn versleuteld terwijl dit niet het geval is.
Waar het de malware wel om lijkt te doen is het stelen van gegevens. Op sommige besmette systemen werd een script uitgevoerd dat naar bepaalde bestanden zoekt, zoals .pdf, .doc en .jpg, encryptiesleutels en cryptowallets, en die naar de aanvallers terugstuurt. Onderzoeker Thomas Reed van antimalwarebedrijf Malwarebytes denkt dat de malware het versleutelen als dekmantel gebruikt voor het stelen van bestanden.
Slachtoffers van de malware bij wie bestanden zijn versleuteld kunnen die sinds gisteren kosteloos ontsleutelen. ThiefQuest blijkt een zelfgemaakte encryptieroutine te gebruiken die onderzoekers van securitybedrijf SentinelOne hebben weten te kraken. Zodoende konden ze een "EvilQuest Decryptor" ontwikkelen die gratis via GitHub is te downloaden.
Deze posting is gelocked. Reageren is niet meer mogelijk.