K7 Lab ทีมนักวิจัยด้าน Cybersecurity ได้เผยถึงการค้นพบ Ransomware ชนิดใหม่ที่มีชื่อเรียกว่า EvilQuest มุ่งโจมตีผู้ใช้งาน macOS โดยเฉพาะ ซึ่งจะแพร่กระจายผ่านแอปพลิเคชันที่ผิดลิขสิทธิ์หรือแอปเถื่อน

โดย EvilQuest ransomware จะแนบมากับแอปฟลิเคชันฟรี ที่มาจากเว็บไซต์ให้บริการดาวน์โหลดฟรี Torrent ตัวอย่างเช่น Little Snitch, Mixed In Key 8 และ Ableton Live เป็นต้น เมื่อผู้ใช้งานดาวน์โหลดมาแล้ว ก็จะมีไฟล์ปลอมชื่อว่า Apple CrashReporter หรือ Google Software Update มาให้ผู้ใช้งานติดตั้งไปด้วยแบบที่ไม่รู้ตัว จากนั้น EvilQuest ก็จะทำ Sandbox Check เพื่อตรวจจับการทำ Sleep-Patching ทันที และยังใช้เทคนิค Anti-Debugging เพื่อหลีกเลี่ยงการถูกเรียกใช้งานผ่าน Debugger รวมถึงสามารถหยุดการทำงานของ Security Software ที่ตรวจพบในระบบเพื่อเข้ารหัสข้อมูลเหยื่อ บันทึกข้อมูลการพิมพ์ สร้าง Reverse Shell และขโมยไฟล์ต่าง ๆ ที่เกี่ยวข้องกับ Cryptocurrency Wallet

ถึงแม้ว่า เหยื่อถูกเข้ารหัสไฟล์และจ่ายเงินเรียกค่าไถ่ในเวลา 72 ชั่วโมงไปแล้ว ก็ยังไม่รับประกันว่า ในอนาคตจะถูกโจมตีอีกหรือไม่ เพราะ EvilQuest Ransomware จะยังฝังอยู่ในเครื่องนั่นเอง ดังนั้น ผู้ใช้อุปกรณ์ macOS หรืออุปกรณ์อื่น ๆ ควรระมัดระวัง โดยการดาวน์โหลดแอปพลิเคชันจาก App Store เท่านั้น  และหมั่น Backup ข้อมูลลงในที่จัดเก็บอื่น ๆ เช่น HDD แฟลชไดรฟ์ ฯลฯ เพื่อรับมือไม่ให้ตกเป็นเหยื่อการโจมตี ransomware ในอนาคต

ที่มา: https://www.techtalkthai.com/evilquest-ransomware-attackes-apple-macos-users-via-pirated-apps/
และ
https://thehackernews.com/2020/07/macos-ransomware-attack.html

ภาพถ่ายโดย Jess Bailey on Unsplash



เนื้อหาที่เกี่ยวข้อง

1. พบช่องโหว่ขั้นร้ายแรง Zerologon บน Windows รุนแรงระดับ 10/10

2. Maze ransomware ใช้วิธีเดียวกับ Ragnar Locker เลี่ยงการตรวจจับ

3. All@Secure ทำอะไรได้บ้าง เหมาะกับธุรกิจแบบไหน

4. โรงพยาบาลในเครือ UHS สหรัฐฯ โดน Ransomware โจมตี

5. Firefox บน Android อาจถูกโจมตีผ่าน WiFi ผู้ใช้งานควรเร่งอัปเดต