2min

Tags in dit artikel

, ,

ThiefQuest, een recent gevonden ransomware specifiek gericht op Macs, blijkt nog een extra component te bevatten dat actief op zoek gaat naar credentials op een apparaat.

Dat blijkt uit intensiever onderzoek naar het nieuwe programma. Eind juni publiceerde cybersecurity-bedrijf K7 Lab het geconstateerde bestaan van een nieuwe variant ransomware gericht op Mac-gebruikers, met de naam ThiefQuest. Een zeldzame vondst, aangezien dergelijke ransomware maar af en toe de kop opsteekt. Vier jaar geleden werd de eerste speciale variant pas gedetecteerd, sindsdien zijn Mac-gebruikers een aantrekkelijker doelwit geworden.

Afgezien van het versleutelen van bestanden op een Mac bevat ThiefQuest ook nog een Spyware-component. Deze spyware-functies speuren het apparaat af naar wachtwoorden, credit card informatie en andere financiële informatie. Ook is er een keylogger inbegrepen. De tool dient ook nog als backdoor, om op een later moment nog een keer te worden ingezet voor andere doeleinden.

Wel gevaarlijk, geen groot risico

ThiefQuest mag dan wel een dubbele dosis problemen installeren op een Mac, de kans dat een apparaat wordt geïnfecteerd is relatief klein. De malafide software werd teruggevonden in bestanden die zich voordeden als echte bekende software, maar dan te downloaden via torrentsites. De malware zelf ziet eruit als de updater van Google-software, wat al argwaan wekt gezien de software waarin die verstopt zit. Het zou onder andere gaan om de apps Little Snitch, Mixed In Key en Ableston; een security-programma en twee muziek-apps.

Merkwaardige ransomware-componenten

Volgens de onderzoekers is het aantal gedetecteerde downloads van geïnfecteerde installers klein en heeft vooralsnog niemand daadwerkelijk geld overgemaakt naar het opgegeven bitcoin-adres. Opmerkelijk is dat niet, aangezien de ransomware een aantal merkwaardige details heeft waardoor het de vraag is of de ransomware zelf wel het voornaamste doel heeft.

Zo bevat de applicatie wel een adres waarnaar gebruikers cryptovaluta moeten overmaken, maar geen enkele extra code om aan te tonen om welk apparaat het gaat. Ook is er geen emailadres opgegeven waarmee contact kan worden opgenomen om een key te krijgen om bestanden weer te ontsleutelen. Tot slot zou het bijgevoegde component om bestanden weer beschikbaar te maken niet behoorlijk werken.