IT·TECH

'EvilQuest' 랜섬웨어, macOS 사용자중 불법복제 소프트웨어 설치자 대상

Bucket List 2020. 7. 1. 18:04

 

 

Mac 사용자를 위한 랜섬웨어가 러시아에서 발견되었다고 합니다.

그래서인지 미국쪽 뉴스 사이트에서 오늘 집중적으로 다루고 있는데요.

먼저, 피하는 방법을 알아봅니다.

 

EvilQuest 랜섬웨어를 피하거나 완화하는 방법

 

이 시점에서 EvilQuest는 토렌트 웹 사이트와 불법 복제 소프트웨어를 통해서만 배포되는 것으로 보입니다. 

따라서 신뢰할 수 있는 Mac App Store 또는 믿을 수 있는 회사 개발자가 만든 소프트웨어만 설치한다면 랜섬웨어는 피할 수 있습니다.

 

 

일반 사용자를 위한 EvilQuest의 위험을 피할 수 있는 두개의 앱입니다.

Wardle의 무료 오픈 소스 RansomWhere? 라는 앱은 일반적으로 macOS 에서 랜섬웨어를 감지하고 중지 할 수 있습니다. 

 

https://objective-see.com/products/ransomwhere.html

 

Objective-See

Let's try to generically thwart OS X ransomware via math! By continually monitoring the file-system for the creation of encrypted files by suspicious processes, RansomWhere? aims to protect your personal files, generically stopping ransomware in its tracks

objective-see.com

 

 

최신 버전의 Malwarebytes는 EvilQuest가 손상되기 전에 이를 감지하고 완화 할 수 있습니다.

 

 

 

 

 

이번 랜섬웨어는 2017년 Patcher와 2016년 KeRanger의 발견에 따라 macOS 사용자를 대상으로하는 랜섬웨어 표면 처리의 세 번째 인스턴스입니다.

 

"EvilQuest"라고 불리는 불법 복제 소프트웨어를 통해 배포된 새로운 Mac 랜섬웨어는 macOS 사용자를 적극적으로 대상으로 합니다.

 

Mac 사용자를 대상으로 하는 랜섬웨어는 드물지만 사용자 파일을 암호화하고이를 잠그기 위해 돈을 요구하는 악성 소프트웨어의 새로운 인스턴스는 자주 발견됩니다.

 

 

 

여러 보안 연구원이 새로 발견한 "OSX.EvilQuest" 랜섬웨어에 대한 분석과 보고서를 발표했습니다. 

 

https://www.zdnet.com/article/new-evilquest-ransomware-discovered-targeting-macos-users/

 

New EvilQuest ransomware discovered targeting macOS users | ZDNet

EvilQuest ransomware encrypts macOS systems but also installs a keylogger and a reverse shell for full control over infected hosts.

www.zdnet.com

 

ZDNet은 독립 악성 코드 연구자인 Dinesh Devadoss가 처음 발견한 2020년 6 월 초부터 인터넷에서 유포되고 있다고 전합니다.

 

https://twitter.com/dineshdina04

 

Dinesh_Devadoss(@dineshdina04) 님 | 트위터

@dineshdina04 님 언뮤트하기 @dineshdina04 님 뮤트하기 팔로우 @dineshdina04 님 팔로우하기 팔로잉 @dineshdina04 님 팔로우 중 언팔로우 @dineshdina04 님 언팔로우하기 차단됨 @dineshdina04 님이 차단됨 차단 해제

twitter.com

 

 

EvilQuest에는 랜섬웨어 중에서 독특하게 만드는 몇 가지 사악한 추가 기능이 있습니다. 

 

악의적으로 사용자의 파일을 암호화하고 파일을 잠금 해제하기 위해 비용을 청구하는 것 외에도 EvilQuest는 암호화된 지갑 파일을 훔치는 코드와 함께 시스템에 키로거와 리버스 쉘을 설치합니다.

 

 

 

 

 

전 NSA 해커와 Jamf macOS 보안 연구원 Patrick Wardle 에 따르면 이러한 기능을 통해 공격자는 "감염된 호스트를 완전히 제어 할 수 있습니다" 라고 말합니다.

 

https://objective-see.com/blog/blog_0x59.html

 

OSX.EvilQuest Uncovered

OSX.EvilQuest Uncovered analyzing a new piece of mac ransomware (and more!) by: Patrick Wardle / June 29, 2020 ? ? Want to play along? I’ve added the sample (‘OSX.EvilQuest’) to our malware collection (password: infect3d) …please don’t infe

objective-see.com

 

 

이전의 Mac 랜섬웨어와 마찬가지로 EvilQuest는 불법복제 소프트웨어를 통해 배포된 것으로 보입니다. 

 

연구원들은 구글 소프트웨어 업데이트 (Google Software Update)라는 패키지에 번들로 제공되는 반면, 다른 사람들은 불법복제된 DJ 앱 Mixed In Key 및 보안 도구 Little Snitch 에 숨겨져있는 것을 발견했습니다.

 

https://blog.malwarebytes.com/mac/2020/06/new-mac-ransomware-spreading-through-piracy/

 

New Mac ransomware spreading through piracy - Malwarebytes Labs

We analyze a new Mac ransomware that appears to encrypt user files with a bit of a time delay. The ransomware encrypts files with little strategy.

blog.malwarebytes.com

 

 

Malwarebytes Mac & Mobile의 Thomas Reed 에 따르면, 랜섬웨어는 감염된 시스템에서 지속성을 얻기 위해 Chrome 의 업데이트 메커니즘에서 파일을 수정하려고 시도합니다.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

EvilQuest,랜섬웨어,EvilQuest,불법복제,