Los investigadores han desarrollado una herramienta de descifrado para el programa de ransomware EvilQuest recientemente descubierto diseñado para apuntar a máquinas Mac. Pero varios analistas ahora coinciden en que el cifrado malicioso de EvilQuest puede ser más un señuelo, mientras que el verdadero propósito del programa parece ser la exfiltración de datos.
En una nueva publicación de blog esta semana, Thomas Reed, director de Mac y dispositivos móviles en Malwarebytes, respaldó una conclusión anterior de BleepingComputer de que EvilQuest debería clasificarse más como un ladrón de información y un limpiador que intenta ocultar su robo de datos a través de una mala dirección.
Además, la compañía de seguridad Mac Objective-See ha informado de manera similar que el malware es más de lo que parece, y “mucho más poderoso e insidioso” que cualquier “ransomware mundano”.
Múltiples análisis de EvilQuest han encontrado que, además de cifrar archivos, el malware incluye capacidades para el registro de teclas, la ejecución de código en memoria, las técnicas de anti-análisis y la instalación de un shell inverso para ejecutar comandos de forma remota. Pero lo más notable es un script de Python que, según los informes, busca formatos de archivo particulares en la carpeta / Users, codifica estos archivos usando base64 y los envía junto con sus rutas a un servidor de comando y control. BleepingComputer informa que estos archivos incluyen imágenes, documentos de Word, certificados SSL, certificados de firma de código, código fuente, proyectos, hojas de cálculo, bases de datos, billeteras criptográficas y más.
Mientras tanto, el componente de ransomware podría ser simplemente una forma disruptiva de escaparatismo destinado a engañar a las víctimas.
“Definitivamente creemos que el objetivo es más ocultar pruebas en lugar de ser un verdadero rescate”, dijo Reed en una entrevista con SC Media. “Si el atacante hiciera esto con fines puramente destructivos, probablemente no se esforzaría en escribir el resto del código y podría haber hecho un mejor trabajo destruyendo los datos”.
Incluso si el cifrado no es completamente efectivo para dañar los archivos de una víctima, puede ser suficiente para ocultar que se realizó la filtración de datos. “En teoría, lo primero que alguien puede hacer después de ser golpeado con ransomware es limpiar la máquina y restaurarla desde la copia de seguridad. Esto significa que nunca sabrían sobre la exfiltración de datos ”, continuó Reed. “Sin embargo, no sé si es un mejor resultado que la exfiltración silenciosa que pasa completamente desapercibida”.
Debido a sus capacidades de robo de información y para evitar confusiones con un videojuego no relacionado llamado EvilQuest, BleepingComputer y Malwarebytes han comenzado a referirse al malware como ThiefQuest. Según las firmas de investigación, había varias pistas de que los creadores de EvilQuest / ThiefQuest no estaban demasiado interesados en el componente de cifrado malicioso. Ciertamente, uno de ellos es el hecho de que los investigadores de SentinelLabs pudieron producir una herramienta de descifrado con relativa facilidad.
En su propia publicación de blog de la compañía , SentinelOne informó que los desarrolladores de EvilQuest optaron por el cifrado de clave simétrica y, según el líder de la investigación Jason Reaves, “… la clave de texto claro utilizada para codificar la clave de cifrado de archivo termina siendo agregada a la clave de cifrado de archivo codificado. Echar un vistazo a un archivo completamente encriptado muestra que se le ha agregado un bloque de datos “.
Fue este descubrimiento lo que permitió a SentinelOne idear un descifrador.
“El cifrado realmente no era muy fuerte. Fue RC2, que fue diseñado en los años 80 y es vulnerable a algunos métodos conocidos para descifrarlo ”, dijo Reed a SC Media. “Además, la clave de cifrado se agregó al final de cada archivo. Así que esta es definitivamente más información que respalda la teoría de que el rescate es solo una tapadera “.
“Crypto es difícil, y lo único que todos los que son lo suficientemente inteligentes como para decirlo es esto: no intentes rodar el tuyo, porque inevitablemente lo harás mal”, explicó la publicación del blog SentinelOne, escrito por investigador de amenazas Phil Stokes. “Los operadores exitosos de ransomware son lo suficientemente inteligentes como para seguir ese consejo y utilizarán algoritmos de encriptación establecidos, generalmente con al menos algún componente asimétrico”.
Pero si el componente de ransomware es una artimaña, una distracción, entonces no tiene que ser completamente efectivo.
De hecho, Stokes opinó que EvilQuest, como ransomware, “falla prácticamente en cualquier medida de éxito”, pero como un malware completo, es “una de las amenazas más complejas que se han visto hasta ahora dirigidas a la plataforma Mac”.
Otras pistas de que el verdadero juego final de EvilQuest no era el cifrado malicioso: la nota de rescate solo pide una suma insignificante de $ 50, no había una dirección de correo electrónico del atacante para contactar con fines de pago de extorsión, y los actores maliciosos proporcionaron la misma dirección de billetera Bitcoin a cada víctima , lo que haría imposible para los adversarios ver quién pagaba y quién no.
Una característica distintiva adicional de EvilQuest, señalada por Patrick Wardle, fundador de Objective-See, es que se ajusta a la definición de un verdadero virus, ya que puede replicarse insertando código y modificando ejecutables o aplicaciones en una máquina infectada, en Moda automatizada. Malwarebytes señaló que esto es “algo que no se ha visto en Mac desde el cambio de System 9 a Mac OS X 10.0”.
“Definitivamente creemos que el malware todavía es un trabajo en progreso, ya que hay dos variantes distintas con diferencias menores”, dijo Reed. “No nos sorprenderá ver que esto se siga desarrollando, aunque esta detección temprana también puede causar un revés para el atacante”.
