พบ Ransomware ตัวใหม่ แฝงมากับแอปที่โหลดเถื่อนของ Mac



ทาง Malwarebytes Labs มีรายงานตัวใหม่ว่าพบ ransomware ที่มากับแอปเถื่อนของ Mac จำนวนมาก โดย ransomware ตัวใหม่นั้นถูกพบจากฟอรั่มแอปโหลดเถื่อนของรัสเซียในรูปแบบของแอป Little Snitch


หลังจากดาวน์โหลดแอปเถื่อนดังกล่าวก็เห็นได้ชัดเลยว่ามีบางอย่างผิดปกติเกิดขึ้นสำหรับแอป Little Snitch แบบโหลดเถื่อน โดยมันจะมาพร้อมกับ generic installer package ปกติซึ่งติดตั้งแอป Little Snitch เวอร์ชั่นจริง แต่มันไม่ได้มีเพียงแค่นั้น มันยังติดตั้งไฟล์ที่มีชื่อว่า Patch ไปยังไดเรคทอรี่ /Users/Shared/ อีกทั้งยังมีสคริปหลังจากติดตั้งแอปซึ่งทำให้เครื่องนั้นๆติด ransomware



จากนั้นสคริปติดตั้งดังกล่าวจะย้ายไฟล์ที่ชื่อ Patch ไปยังที่ใหม่แล้วเปลี่ยนชื่อใหม่ให้มันเป็น CrashReporter ซึ่งซ่อนอยู่ใน Activity Monitor จากนั้นไฟล์ patch จะติดตั้งตัวเองไปอีกหลายจุดในแมคเครื่องนั้น แล้ว ransomware จะทำการเข้ารหัสการตั้งค่าและไฟล์ข้อมูลต่างๆ บนแมคเหมือนกับไฟล์ Keychain ซึ่งจะส่งผลให้มี error เกิดขึ้นเมื่อพยายามเข้าถึง iCloud Keychain และ Finder เองจะเริ่มทำงานได้ไม่ปกติหลังจากติดตั้งเสร็จ ปัญหายังลามไปยังส่วนต่างๆ เช่น dock และแอปต่างๆ