Ci troviamo di fronte ad una minaccia molto seria: il ThiefQuest malware per macOS, altrimenti noto come EvilQuest.
A differenza delle minacce che abbiamo visto in passato, ThiefQuest va oltre la semplice crittografia dei file.
Una volta infettato il dispositivo, infatti, il malware installa un keylogger e una shell inversa e ruba i file del portafoglio di criptovaluta.
In pratica, l’attaccante può assumere il controllo completo del tuo Mac, anche dopo aver pagato il riscatto.
Continuate a leggere per saperne di più su questa pericolosa minaccia e sulle precauzioni che si possono prendere per mantenere al sicuro i nostri dispositivi Apple.
- ThiefQuest: una minaccia più sofisticata dei ransomware convenzionali?
- Come ThiefQuest esfila i tuoi dati sensibili
- Quali sono le analogie tra questo malware e quelli per Windows?
- Quali sono le funzionalità aggiuntive di ThiefQuest
- Come prevenire e mitigare il rischio di infezione ransomware su macOS
ThiefQuest: una minaccia più sofisticata dei ransomware convenzionali?
L’analisi del malware ThiefQuest per macOS ha rivelato uno strano comportamento che si discosta dal solito modus operandi dei ransomware.
La presenza di keylogging e codice backdoor indicano che si tratta di una minaccia più sofisticata rispetto a quelle che abbiamo visto finora su Mac.
Questa scoperta ha sollevato numerose domande riguardo alla natura di questa minaccia.
La richiesta di riscatto ha in sé alcuni elementi piuttosto insoliti, come il prezzo stabilito in soli 50 dollari, anziché in Bitcoin. Ciò significa che la vittima dovrebbe calcolare la quantità esatta di Bitcoin da inviare al momento del pagamento, senza avere modo di contattare i criminali responsabili del malware.
Ma le stranezze non finiscono qui.
La routine di decrittazione presente nel malware non viene richiamata da alcuna parte nel codice, il che suggerisce che è orfana e non verrà mai eseguita.
Tutto ciò potrebbe indicare che il riscatto rappresenti soltanto una distrazione per coprire il vero obiettivo del malware: l’esfiltrazione di dati.
Infatti, le numerose connessioni al server di comando e controllo del malware ThiefQuest sembrano indicare un’intensa attività di raccolta di informazioni.
Come ThiefQuest esfila i tuoi dati sensibili
L’esfiltrazione di dati, o “furto di dati”, è un’operazione eseguita dal malware che raccoglie informazioni da una macchina infetta e le invia a un server sotto il controllo dell’aggressore.
In particolare, nel caso di ThiefQuest, una minaccia più sofisticata rispetto ai ransomware convenzionali, è stato utilizzato uno script Python.
Lo script esegue la scansione dei file presenti nella cartella /Utenti/ del computer,, alla ricerca di file con estensioni specifiche.
Il malware ha infatti preso di mira soprattutto le estensioni. pem, che vengono utilizzate per le chiavi di crittografia, e .wallet, impiegate per i portafogli di criptovalute.
Una volta individuati i file di interesse, questi vengono caricati uno alla volta tramite protocollo HTTP non crittografato, confezionati in pacchetti di rete contenenti:
- una stringa che rappresenta il percorso del file
- una stringa di caratteri apparentemente casuale
Ad esempio, la stringa “c=VGhpcyBpcyBhIHRlc3QK&f=%2FUsers%2Ftest%2FDocuments%2Fpasswords.doc” faceva riferimento al file “passwords.doc”, che in realtà conteneva solo la scritta “Questo è un test”. Era la stringa casuale “VGhpcyBpcyBhIHRlc3QK” a rappresentare in maniera crittografata il contenuto effettivo del file.
Quali sono le analogie tra questo malware e quelli per Windows?
Secondo gli esperti, il malware ThiefQuest ha molto in comune con i malware noti come “wiper” nel mondo Windows, che rubano dati e mettono fuori uso il sistema per coprire le loro tracce.
Di solito, questi malware vengono impiegati in attacchi mirati contro organizzazioni specifiche, ma possono anche propagarsi oltre il bersaglio o essere diffusi intenzionalmente.
Tuttavia, ciò che distingue ThiefQuest dagli altri è la sua natura ibrida, in grado di agire sia:
- come ransomware, bloccando l’accesso ai dati e richiedendo un riscatto per sbloccarli,
- come backdoor, aprendo una porta nascosta per consentire agli hacker di accedere al sistema infetto
Questa doppia funzionalità lo rende ancora più insidioso rispetto ad altri malware noti, come WannaCry.
Inoltre, come accade per i malware per Windows, anche ThiefQuest utilizza tecniche avanzate di crittografia per:
- proteggere le proprie attività malevole
- occultare la propria presenza all’interno del sistema infetto
Ad esempio, impiega un algoritmo di crittografia asimmetrica per nascondere le informazioni di configurazione, il che rende più difficile per gli esperti di sicurezza analizzare il codice e individuare eventuali punti deboli del sistema effettivamente sfruttati.
Quali sono le funzionalità aggiuntive di ThiefQuest
In questo malware, siamo di fronte a una combinazione di tecniche inusuali per il ransomware, che includono:
- il keylogging
- l’apertura di una backdoor per ottenere un accesso continuativo ai sistemi macOS
Ma la vera sorpresa è il codice che sembra comportarsi come un virus, qualcosa che non è stato osservato sui Mac da quando sono passati da System 9 a Mac OS X 10.0.
Tuttavia, le ultime ricerche hanno permesso di capire meglio come questo malware infetta i file legittimi.
- Il codice dannoso viene anteposto all’inizio del file eseguibile
- Quando questo viene aperto, viene eseguito per primo.
- Dopodiché, il malware copia il contenuto del file legittimo in un nuovo file invisibile che viene eseguito al posto dell’originale, rendendolo così infetto.
Tuttavia, questa tecnica non è nuova su macOS.
Il primo ransomware per Mac, noto come KeRanger, era stato diffuso tramite una copia modificata dell’app Transmission torrent.
La differenza risiedeva nel fatto che, prima di ThiefQuest, questo tipologia di attacco era stata eseguita solo manualmente.
Questoa variante, invece, è riuscita a eseguire l’attacco in modo completamente automatizzato.
Come prevenire e mitigare il rischio di infezione ransomware su macOS
Concludendo, il ThiefQuest malware è una minaccia per la sicurezza informatica, e si diffonde principalmente attraverso:
- il download di software pirata
- attacchi phishing
Essendo in grado di compromettere la sicurezza dei dati personali delle vittime e di prendere il controllo dei dispositivi, si rende necessario adottare una serie di misure di mitigazione della minaccia.
Tra le buone pratiche che puoi adottare per proteggere il tuo sistema operativo Apple e prevenire gli effetti del ThiefQuest malware, possiamo elencare:
- Utilizzare solo software legittimo e affidabile.
- Attenzione alle e-mail di phishing: molte infezioni di ThiefQuest si verificano attraverso e-mail fraudolente.
- Eseguire regolarmente il backup: se il tuo computer viene infettato dal ThiefQuest malware e i tuoi dati vengono crittografati o danneggiati, potresti perdere tutti i tuoi file importanti. Fai regolarmente il backup dei tuoi dati su un disco rigido esterno o un servizio di cloud storage per proteggerti da tali eventualità.
- Mantenere il sistema operativo sempre aggiornato: gli sviluppatori rilasciano regolarmente aggiornamenti per correggere le vulnerabilità di sicurezza. Assicurati, quindi, di mantenere il tuo sistema operativo e il software sempre aggiornati.
- Autore articolo
- Ultimi articoli
Sono un giovane italo-tunisino appassionato della camminata. Da piccolo cambiavo sempre il mio tragitto per andare a scuola e nel 2008 mi trasferivo in Italia per iniziare un nuovo cammino.
Questa passione mi ha consentito di raggiungere importanti traguardi formativi, quali il diploma come perito tecnico industriale con il massimo dei voti e la laurea triennale in ingegneria biomedica.
Attualmente, sono uno studente laureando alla magistrale di Biomedical Engineering. Di recente ho vinto l’assegnazione della Cybersecurity Scholarship 2021 – 2022 Cisco.
