EvilQuest มัลแวร์เรียกค่าไถ่ตัวใหม่ ที่มุ่งโจมตี macOS

Malwarebytes ผู้พัฒนาซอฟต์แวร์ป้องกันมัลแวร์ชื่อดังได้รายงานการค้นพบมัลแวร์เรียกค่าไถ่ตัวใหม่ที่มีชื่อว่า "EvilQuest" โดยตามรายงานได้ระบุว่ามัลแวร์ตัวนี้แฝงตัวอยู่ใน Little Snitch แอปพลิเคชันสำหรับใช้ควบคุมการเชื่อมต่ออินเทอร์เน็ตของแอปพลิเคชันต่างๆ ที่มีอยู่ภายในเครื่อง

ด้วยความที่ Little Snich ไม่ใช่แอปพลิเคชันฟรี แม้ราคาเริ่มต้นจะอยู่แค่เพียง 45 € เท่านั้น (ประมาณ 1,570 บาท) แฮกเกอร์ก็เลยทำการแครกแอปพลิเคชัน Little Snitch ออกมาแจกจ่ายให้ดาวน์โหลดไปใช้งานได้ฟรีผ่านทางเว็บบอร์ดในประเทศรัสเซีย แต่ใส่มัลแวร์ EvilQuest ให้เป็นของแถมมาด้วย

จากการตรวจสอบของ Malwarebytes ได้เผยว่า มันมีความน่าสงสัยตั้งแต่ตอนที่ดาวน์โหลด Little Snitch (เถื่อน) มาติดตั้งแล้ว โดยมันมาในรูปแบบของ Generic installer package แม้ว่ามันจะติดตั้ง Little Snitch ให้จริง แต่ก็มีแถมไฟล์ที่ถูกชื่อว่า "Patch" แถมมาให้ด้วย โดยมันจะติดตั้งลงใน /Users/Shared แล้วทำการรันสคริปต์เพื่อเริ่มโจมตีระบบ

สคริปต์ที่แถมมา จะทำการย้ายไฟล์ Patch ไปยังตำแหน่งใหม่ แล้วเปลี่ยนชื่อตัวเองเป็น CrashReporter เพื่ออำพรางตัวอยู่ใน Activity Monitor จากนั้นก็ทำการติดตั้งตัวเองซ้ำอีกครั้ง โดยย้ายตำแหน่งที่ติดตั้งเพื่อกระจายตัวไปยังพื้นที่อื่นของระบบ

หลังจากนั้นมัลแวร์จะเริ่มทำการเข้ารหัสไฟล์ต่างๆ บน Mac รวมถึงไฟล์ใน Keychain ด้วย ทำให้เหยื่อไม่สามารถเข้าถึงไฟล์ Keychain ผ่าน iCloud ได้อีกต่อไป ในส่วนของ Finder, Dock และแอปพลิเคชันอื่นๆ ก็เสียหายไปด้วยเช่นกัน

อย่างไรก็ตาม ไม่รู้ว่าจะหัวเราะได้ไหม เมื่อทาง Malwarebytes พบว่า มัลแวร์เรียกค่าไถ่ตัวนี้ออกแบบมาได้แย่มาก แม้เหยื่อจะหลงเชื่อพยายามจะจ่ายเงินค่าไถ่ $50 เพื่อปลดล็อกไฟล์แล้ว แต่ตัวมัลแวร์ก็ไม่บอกว่าจะให้จ่ายเงินไปที่ไหนอยู่ดี

สำหรับการป้องกันตัวจากมัลแวร์นั้นง่ายมาก ผู้ใช้ควรดาวน์โหลดแอปพลิเคชันจาก App Store เท่านั้น และหลีกเลี่ยงการติดตั้งแอปพลิเคชันเถื่อนที่แจกตามเว็บไซต์ หรือเว็บบอร์ดต่างๆ