ThiefQuest: il misterioso ransomware per Mac che ruba anche dati e informazioni
lunedì 6 luglio 2020
E' stato individuato un malware per la cancellazione e il furto dati chiamato ThiefQuest: utilizza un ransomware come copertura, ma il vero scopo sembra essere quello di rubare informazioni sensibili agli utenti Mac. Il malware si diffonde tramite installer crakkati di app popolari: i file installer, diffusi via torrent, altro non sono che una copertura per il malware.
Va detto che non è affatto comune, ma i ransomware pensati per colpire la piattaforma macOs non sono nuovi: in passato ci sono stati KeRanger, FileCoder e altri malware con varie funzionalità compresa quella di criptare i sistemi. ThiefQuest pare, in prima battuta, inserirsi in questa lista.
Dalle prime analisi è risultato che ThiefQuest ha la capacità di verificare se si trovi in esecuzione in una virtual machine o in una sandbox ed è dotato di alcune funzionalità anti debug: i suoi sviluppatori hanno lavorato non poco per impedire che i ricercatori potessero analizzare il codice. Il malware verifica anche la presenza di alcuni tool di sicurezza piuttosto diffusi come il firewaell Little Snitch e soluzioni antimalware come Kaspersky, Norton, Avast, DrWeb, Bitdefender, McAfee ecc...
Le comunicazioni col server di comando e controllo avvengono tramite una reverse shell: il malware si connette al dominio http://andrewka6.pythonanywhere[.]com/ret.txt per ottenere l'indirizzo IP del server di comando e controllo per scaricare ulteriori file dannosi e inviare dati dal sistema infetto. Nei fatti, spiegano i ricercatori, con queste capacità l'attaccante può mantenere il controllo completo sull'host infetto.
La distribuzione avviene sui siti torrent
Questo ransomware per adesso pare avere un solo canale di diffusione, ovvero i siti torrent. Viene diffuso "travestito" da popolari applicazioni per Mac come Little Snitch, Mixed in Key (dj virtuale), il programma di produzione musicale Ableton e altri tool.
Una versione infetta di Little Snitch. Fonte: bleepingcomputer.com
All'apparenza i file sembrano legittimi: una volta scaricati sembrano in formato .PKG e il codice pare firmato come qualsiasi legittimo installer. Una volta eseguito, però, viene svelato l'inganno: il vero formato dei falsi installer è DMG e le icone non sono quelle delle applicazioni legittime. Ma il danno ormai è fatto.
Come infetta i sistemi
Per prima cosa ottiene la persistenza sul sistema infetto cosi che si possa eseguire ogni qual volta l'utente fa login nel sistema. A questo punto lancia una copia configurata di se stesso e inizia la criptazione di tutto quanto trova nel sistema: ai file criptati viene aggiunto il marker BEBABEDD alla fine.
Fonte: bleepingcomputer.com
Una differenza coi ransomware per Windows è che ThiefQuest cripta file "a casaccio": la maggior parte dei ransomware per Windows esclude alcuni file e cartelle dalla routine di criptazione per garantirsi che il sistema continui comunque a funzionare. In questo caso invece la criptazione random crea gravi problemi sul sistema compromesso.
La nota di riscatto si chiama " READ_ME_NOW.txt". Alla vittima viene richiesto di pagare 50 dollari in Bitcoin entro 72 ore per recuperare i file criptati. La cosa strana è che l'indirizzo del conto Bitcoin usato è statico e non cambia da vittima a vittima: inoltre non ci sono email di contatto.
La nota di riscatto. Fonte: bleepingcomputer.com
Ma è proprio un ransomware?
ThiefQuest presenta alcune stranezze: non sembra essere un ransomware molto credibile, sia per il meccanismo un pò caotico di criptazione ma anche e sopratutto per l'uso di un indirizzo Bitcoin statico, per la bassissima richiesta di riscatto e per l'assenza di una qualunque possibilità di contattare gli attaccanti. Alcuni ricercatori, tra i quali Lawarance Abrams, sono convinti che il ransomware sia semplicemente una copertura per celare il vero scopo di questo malware.
Una volta eseguito su un sistema Mac questo malware esegue una shell che scarica dipendenze Python: vi sono due sono script Python mascherati da file GIF. Del primo file, estremamente offuscato, i ricercatori non sono riusciti a individuare la funzione. L'altro file non è offuscato ed ha una funzione chiarissima: è uno script per l'esfiltrazione e il furto di tutti i dati nella cartella Users. Contiene un URL remoto al quale vengono inviati tutti i dati. Con una particolarità: questo malware non invia al server di comando e controllo alcun file le cui dimensioni superino gli 800kb. Una contraddizione in termini: tra i vari tipi di file ricercati per il furto (.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat), moltissimi sono generalmente di dimensioni maggiori di 800kb.
Nei fatti quindi ThiefQuest è un grande pericolo, perchè non è solo ransomware, è anche malware per il furto dati ma ha anche moduli la cui funzione non è ancora neppure chiara. I dati rubati, magari sensibili, potrebbero essere usati a scopi illegali come il furto di identità, la costruzione di dizionari e raccolte di password, per rubare criptovalute o certificati o chiavi di sicurezza private.
Chi dovesse subire un'infezione da parte di questo ransomware deve ritenere compromesso il sistema e tutti i file contenuti, ma anche gli account di banking online, i wallet di criptovaluta, i social e tutto ciò che richiede credenziali per l'accesso.
Aggiornamento del 9 Giugno 2020
L'algoritmo di criptazione del ransomware è stato scardinato. Il ransomware è risolvibile gratuitamente. Tutte le informazioni disponibili qui (in inglese). Questo aggiornamento è finalizzato all'utilità che può avere per chi ha subito questa infezione: non abbiamo verificato l'effettiva funzionalità del tool, ma riteniamo affidabile la fonte. Non ci assumiamo alcuna responsabilità in caso di malfunzionamento o recupero parziale dei file.