Mã độc tống tiền ThiefQuest đang nhắm vào các thiết bị macOS, đánh cắp dữ liệu và xóa hoàn toàn thiết bị của người dùng nếu không trả tiền chuộc.
Các chuyên gia bảo mật vừa cảnh báo người dùng macOS nên theo dõi tình trạng bảo mật thiết bị, đồng thời cảnh giác với loại mã độc tống tiền mới. Sau khi xâm nhập vào thiết bị, ThiefQuest sẽ mã hóa toàn bộ hệ thống và đánh cắp những dữ liệu có giá trị rồi đòi tiền chuộc. Nếu nạn nhân không trả, mã độc tống tiền này được lập trình để xóa toàn bộ hệ thống máy của nạn nhân, gồm tất cả mục bên trong phần cứng, gây tổn hại nặng nề đến thiết bị. Tuy nhiên có một cách để ngăn chặn.
ThiefQuest được phát hiện lần đầu bởi các nhà nghiên cứu tại hãng bảo mật SentinelOne – nơi các chuyên gia thực hiện các bước kiểm tra chi tiết về phần mềm độc hại. Công ty tin rằng mã độc tống tiền ThiefQuest có một kẻ hở trong quá trình gửi tin nhắn cảnh báo nạn nhân về dữ liệu và đòi tiền chuộc.
Tương tự những cuộc tấn công tống tiền khác, tin tặc yêu cầu nạn nhân trả 50 USD trong vòng 72 giờ nếu muốn nhận lại toàn bộ dữ liệu. Tuy nhiên, những kẻ tấn công lại không cung cấp email liên hệ để nạn nhân biết thông tin về việc giải mã sau khi nhận thanh toán. Thay vào đó, người dùng chỉ nhận được một đường dẫn đến tập tin ReadMe, trong đó có thông tin chi tiết về một ví Bitcoin để gửi tiền chuộc.
SentinelOne cho biết ThiefQuest sử dụng phương thức mã hóa tùy chỉnh quen thuộc, và mã code của phần mềm độc hại này lại không liên quan đến phương thức mã hóa khóa chung được sử dụng cho các cuộc tấn công tương tự.
Các nhà nghiên cứu phát hiện ra ThiefQuest tìm trong thư mục /Users của hệ thống để nhắm mục tiêu tấn công và đánh cắp các tập tin có đuôi .doc, .pdf, .jpg…. Tuy nhiên, những tập tin này được mã hóa bởi một công cụ đơn giản, bằng cách thêm một khối dữ liệu bổ sung có chứa khóa mã hóa/giải mã.
Sau khi phát hiện lỗ hổng này, các nhà nghiên cứu của SentinelOne đã tạo và phát hành một bộ giải mã đơn giản, người dùng có thể tải xuống miễn phí và sử dụng để lấy lại tập tin gốc.