O investigador de segurança da K7 Lab Dinesh Devadoss publicou na semana passada os detalhes sobre um ataque informático que visa os computadores Mac. Sabe-se agora que, além da componente de ransomware, este código malicioso consegue perpetrar outros tipos de ameaças: extrair ficheiros da máquina infetada, procurar por passwords e por dados de carteiras de criptomoedas e inclui um keylogger forte que rouba palavras-chave, números de cartões de crédito e outras informações financeiras. Esta componente de spyware abre ainda uma backdoor nos aparelhos infetados, que fica aberta mesmo depois de a máquina reiniciar e que pode ser usada para lançar outros ataques.
Apesar de o potencial da ameaça ser grande, a probabilidade de este malware infetar o computador é baixa, a não ser que os utilizadores descarreguem software pirata e não validado e o instalem. O ThiefQuest está a ser distribuído em sites de torrents, associado a software conhecido como o Little Snitch, o Mixed In Key ou o Ableton. A ameaça disfarça-se de atualização de segurança da Google, para iludir os utilizadores. Os investigadores de segurança explicam que não registaram um número significativo de downloads destes ficheiros e não há registo de alguém ter pago o resgate para recuperar dados, caso tivesse sido atacado. Os sistemas de segurança da Apple alertam o utilizador sempre que se tenta instalar este malware.
As motivações de quem criou o ThiefQuest permanecem desconhecidas: apesar de ser bastante complexo e misturar ransomware com spyware, a primeira parte parece ter ficado incompleta, com apenas uma nota de resgate a apontar para um endereço de bitcoin estático e sem qualquer endereço de email para onde as vítimas possam usar para pedir a chave de desencriptação, notica o ArsTechnica.
“Se o objetivo principal fosse exfiltrar dados, queria que o malware ficasse silencioso nos bastidores e roubasse dados o mais silenciosamente possível, de forma a não ser detetado. Não percebo o objetivo deste ransomware bastante ruidoso. Quando o instalei para testes, a cada 30 segundos, o computador estava a berrar para mim e a dar alertas a toda a hora. É bastante ruidoso, no sentido literal e digital do termo”, explica Thomas Reed, investigador de segurança da Malwarebytes.
Apesar desta componente aparentemente mal pensada, os criadores incluíram várias técnicas de obfuscação: o código permanece ‘adormecido’ se detetar ferramentas de segurança como as da Norton ou se estiver a ser aberto em máquina virtual ou sandbox, geralmente associadas a testes de segurança.
Há uma teoria de que o objetivo deste malware tenha sido primariamente o de roubar dados e só depois ser executado o ransomware, mas o trabalho parece ter ficado incompleto.
