Virus.MacOS.THIEFQUEST.A-O
Ransom:MacOS/Filecoder.YA!MTB (MICROSOFT); HEUR:Trojan-Ransom.OSX.FileCoder.gen (KASPERSKY)
MacOS
Tipo de malware
Virus
Destructivo?
No
Cifrado
No
In the Wild:
Sí
Resumen y descripción
Antepone sus códigos a los archivos de destino. Agrega marcadores de infección a los archivos.
Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.
Detalles técnicos
Instalación
Infiltra los archivos siguientes:
- /private/var/root/.ncspot – text files containing a 43-byte string to be used by the Virus
Crea las siguientes copias de sí mismo en el sistema afectado:
- ~/Library/AppQuest/com.apple.questd
- /Library/AppQuest/com.apple.questd
- /private/var/root/Library/.{random generated string}
- (Note: The character <~>indicates the main directory accessible to the current logged in user only. If the file path does not contain the character <~> specified file is located in the local main directory accessible to all users.)
Infección de archivo
Infecta los siguientes tipos de archivo:
- Mach-O Executable File
Antepone sus códigos a los archivos de destino.
Busca archivos de destino en las carpetas siguientes:
- /Users
Agrega marcadores de infección a los archivos.
Rutina de puerta trasera
Ejecuta los comandos siguientes desde un usuario remoto malicioso:
- Load and execute received data from memory
- Save received data as specified file
- Log keystrokes
Rutina de descarga
Accede a los siguientes sitios Web para descargar archivos:
- http://andrewka6.{BLOCKED}anywhere.com/ret.txt → Contains specified C&C Server
Otros detalles
Se muestra una ventana emergente con el siguiente mensaje:
Hace lo siguiente:
- Installs the following autorun items:
- ~/Library/LaunchAgents/com.apple.questd.plist
- /Library/LaunchDaemons/com.apple.questd.plist
- (Note: The character <~>indicates the main directory accessible to the current logged in user only. If the file path does not contain the character <~> specified file is located in the local directory accessible to all users.)
- It avoids the Mach-O Executable files that are included in application bundles(.app file extension)
- Infected files from this Virus will drop and execute its original code as a hidden file to deceive the user into thinking that the infected executed file was not affected while the malware performs its routines in the background.
- It will first attempt to download the file to get the specified C&C. If unsuccessful it will instead use the IP Address as C&C Server.
- It does not append a different file extension to the file name of the encrypted files. Instead, it leaves an encryption marker at the end each file.
- It is capable of file exfiltration. It searches the following folder for files of interest to encode and send to the server:
- /Users
- It searches for files that match the following regular string expressions to encrypt:
- *id_rsa*/i
- *.pem/i
- *.ppk/i
- known_hosts/i
- *.ca-bundle/i
- *.crt/i
- *.p7!/i
- *.!er/i
- *.pfx/i
- *.p12/i
- *key*.pdf/i
- *wallet*.pdf/i
- *key*.png/i
- *wallet*.png/i
- *key*.jpg/i
- *wallet*.jpg/i
- *key*.jpeg/i
- *wallet*.jpeg/i
Soluciones
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como Virus.MacOS.THIEFQUEST.A-O En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Rellene nuestra encuesta!