新的Mac勒索软件比看起来更险恶

勒索软件的威胁可能看起来无处不在，但自从4年前第一款成熟的Mac勒索软件浮出水面以来，还没有太多专门为感染苹果Mac电脑而量身定做的病毒。因此，当K7实验室(K7 Lab)的恶意软件研究员迪内什·德瓦多斯(Dinesh Devadoss)周二发布关于Mac勒索软件新示例的发现时，这一事实本身就意义重大。然而，事实证明，研究人员现在称之为ThiefQuest的恶意软件从那里变得更有趣了。(研究人员最初将其命名为EvilQuest，直到他们发现了同名的蒸汽游戏系列。)。

除了勒索软件，ThiefQuest还有一整套间谍软件功能，允许它从受感染的计算机中渗出文件，在系统中搜索密码和加密货币钱包数据，并在用户键入密码、信用卡号码或其他财务信息时运行强大的键盘记录程序来获取密码、信用卡号码或其他财务信息。间谍软件组件还一直潜伏在受感染设备上作为后门，这意味着即使在计算机重新启动后，它也会继续存在，并可能被用作额外或第二阶段攻击的发射台。考虑到勒索软件在Mac电脑上非常罕见，这一双重打击尤其值得注意。

看一下代码，如果您将勒索软件逻辑从所有其他后门逻辑中分离出来，那么这两部分作为单独的恶意软件是完全有意义的。Mac管理公司JAMF的首席安全研究员帕特里克·沃德尔(Patrick Wardle)说，但是把它们汇编在一起，你会是什么样的人？&34；沃德尔(Patrick Wardle)是Mac管理公司JAMF的首席安全研究员。我目前对这一切的直觉是，基本上有人在设计一款Mac恶意软件，让他们能够完全远程控制受感染的系统。然后，他们还添加了一些勒索软件功能，作为赚取额外收入的一种方式。

尽管ThiefQuest功能非常强大，但除非你下载盗版、未经审查的软件，否则它不太可能在短期内感染你的Mac电脑。安全公司Malwarebytes的Mac和移动平台总监托马斯·里德(Thomas Reed)发现，ThiefQuest正在捆绑了名牌软件的Torrent网站上分发，比如安全应用程序Little Snitch、DJ软件Mixed in Key和音乐制作平台Ableton。K7&39；的Devadoss指出，恶意软件本身被设计成看起来像谷歌软件更新程序。不过，研究人员表示，到目前为止，它的下载量似乎并不高，也没有人为攻击者提供的比特币地址支付赎金。

要想让你的Mac受到感染，你需要破解一个被攻破的安装程序，然后无视苹果发出的一系列警告才能运行它。这是一个很好的提醒，要从值得信赖的来源获得你的软件，比如那些代码由苹果签署以证明其合法性的开发者，或者从苹果的App Store本身获得。但是，如果你是一个已经泛滥程序的人，并且习惯了忽视苹果的旗帜，那么ThiefQuest就说明了这种方法的风险。

尽管ThiefQuest拥有一套广泛的功能，可以将勒索软件与间谍软件融合在一起，但最终结果如何尚不清楚，特别是因为勒索软件组件似乎不完整。恶意软件显示了一张要求付款的赎金纸条，但它只列出了受害者可以汇款的静态比特币地址。鉴于比特币的匿名特性，打算在收到付款后解密受害者系统的攻击者将无法分辨谁已经付款，谁还没有付款。此外，这张便条没有列出受害者可以用来与攻击者就收到解密密钥进行通信的电子邮件地址-这是恶意软件可能实际上并不打算用作勒索软件的另一个迹象。JAMF的Wardle在他的分析中还发现，尽管恶意软件拥有解密文件所需的所有组件，但它们似乎没有设置为在野外实际运行。

研究人员还强调，希望用间谍软件进行秘密侦察的攻击者通常希望尽可能地分散和不引人注目。将勒索软件添加到混搭中只会宣布恶意软件的存在，并可能会改变用户在设备上的行为，因为他们的所有文件都被加密了，而且他们在屏幕上看到了戏剧性的赎金字条。在这种情况下，你不可能随便网购或登录你的银行账户。出于同样的原因，勒索软件通常不需要在设备上建立持久性并持续到重新启动，因为它只需要启动加密过程。当程序宣布自己为恶意软件并持续存在时，这只会使安全社区更有可能在将来标记和分析该软件以阻止它。

我会想，如果你的主要目标是数据泄露，你会想要留在后台，

该恶意软件确实包括一些模糊功能，以帮助其隐藏起来。如果检测到某些安全工具，如Norton Antivirus，恶意软件将不会运行。如果它是在经常用于安全测试的数字环境(如沙盒或虚拟机)中打开，也会显得很低调。在分析代码本身时，研究人员说，有些组件被小心地遮蔽了，因此很难理解它们的作用。然而，奇怪的是，其他人却被遗漏在开放的地方，让任何人都能看到。

沃德尔推测，恶意软件可能是为了先悄悄运行其间谍软件模块，收集有价值的数据，然后才启动嘈杂的勒索软件，作为在继续前进之前从受害者那里收集一些资金的最后努力。在测试中，一些研究人员发现比其他人更难诱导恶意软件开始加密文件作为其勒索软件功能的一部分，这可能支持沃德尔的理论。但该恶意软件有漏洞，目前尚不清楚开发者的真正意图是什么。

鉴于恶意软件是通过洪流传播的，似乎专注于偷钱，而且仍然存在一些漏洞，研究人员表示，它很可能是由犯罪黑客创建的，而不是寻求进行间谍活动的民族国家间谍。在Windows恶意软件领域，将勒索软件伪装成分散注意力或虚假标志的情况并不少见。NotPetya恶意软件造成了历史上影响最大、代价最高的网络攻击，毕竟它伪装成了勒索软件。尽管如此，考虑到Mac勒索软件是如此罕见，看到ThiefQuest采取如此晦涩的方法是令人惊讶的。

也许恶意软件正在使用勒索软件的标志性文件加密作为破坏性工具，试图永久地将用户锁定在他们的计算机之外。或者，也许ThiefQuest只是希望从受害者那里获得尽可能多的钱。和往常一样，Mac勒索软件的真正问题是，接下来会发生什么？