Nếu hay sử dụng phần mềm lậu, cờ rách thì anh em nên cẩn thận một tí vì mới đây nhiều người dùng báo rằng họ đã bị dính mã độc tống tiền có tên gọi "EvilQuest" làm mã hoá dữ liệu người dùng và gây nhiều tổn hại đến hệ thống máy. Malwarebytes đã tiến hành phân tích mã độc này và kết luận nguồn gốc của nó đa phần xuất phát từ những phần mềm lậu đã bị kẻ xấu chỉnh sửa, xâm hại.
Mã độc này được phát hiện đầu tiên từ ứng dụng Little Snitch lậu, tải trên diễn đàn kéo Torrent của Nga. Khác với bình thường, file cài của ứng dụng này có định dạng cài PKG. Phân tích file PKG này, người ta phát hiện rằng file cài chứa một đoạn script hậu cài đặt (postinstall script). Thông thường, phần script hậu cài đặt này được lập trình viên sử dụng để tự xoá bộ cài sau khi đã hoàn tất cài đặt, nhưng trong trường hợp này đoạn script đã bị dùng cho mục đích xấu.
Tinh vi hơn, đoạn script copy một file vào đường dẫn /Library/LittleSnitchd/CrashReporter và sẽ khởi chạy dưới tên CrashReporter. Cái tên này giống hệt với một tiến trình chạy của hệ thống macOS nên người dùng khó có thể phát hiện ra.
Mã độc sẽ hoạt động ngay sau khi ứng dụng cài đặt xong, nó sẽ tiến hành chỉnh sửa các file hệ thống và mã hoá các dữ liệu của người dùng hòng tống tiền. Nạn nhân sẽ phải bỏ ra 50$ để phục hồi dữ liệu, nếu không dữ liệu sẽ bị xoá trong vòng 3 ngày. Hiện tại vẫn chưa tìm ra cách để giải mã các dữ liệu bị mất.
Lời khuyên là anh em nên hạn chế sử dụng phần mềm lậu, nếu sử dụng thì cũng hãy thật cẩn thận và luôn backup data để đề phòng bất trách.
Mã độc này được phát hiện đầu tiên từ ứng dụng Little Snitch lậu, tải trên diễn đàn kéo Torrent của Nga. Khác với bình thường, file cài của ứng dụng này có định dạng cài PKG. Phân tích file PKG này, người ta phát hiện rằng file cài chứa một đoạn script hậu cài đặt (postinstall script). Thông thường, phần script hậu cài đặt này được lập trình viên sử dụng để tự xoá bộ cài sau khi đã hoàn tất cài đặt, nhưng trong trường hợp này đoạn script đã bị dùng cho mục đích xấu.
Tinh vi hơn, đoạn script copy một file vào đường dẫn /Library/LittleSnitchd/CrashReporter và sẽ khởi chạy dưới tên CrashReporter. Cái tên này giống hệt với một tiến trình chạy của hệ thống macOS nên người dùng khó có thể phát hiện ra.
Mã độc sẽ hoạt động ngay sau khi ứng dụng cài đặt xong, nó sẽ tiến hành chỉnh sửa các file hệ thống và mã hoá các dữ liệu của người dùng hòng tống tiền. Nạn nhân sẽ phải bỏ ra 50$ để phục hồi dữ liệu, nếu không dữ liệu sẽ bị xoá trong vòng 3 ngày. Hiện tại vẫn chưa tìm ra cách để giải mã các dữ liệu bị mất.
Lời khuyên là anh em nên hạn chế sử dụng phần mềm lậu, nếu sử dụng thì cũng hãy thật cẩn thận và luôn backup data để đề phòng bất trách.
Theo 9to5mac
