勒索软件的威胁似乎无处不在，但自四年前首款成熟的Mac勒索软件出现以来，还没有太多专门针对苹果Mac电脑的病毒。因此，当K7实验室(K7 Lab)的恶意软件研究员迪内什·德瓦道斯(Dinesh Devadoss)在周二发布关于Mac勒索软件的一个新例子的发现时，这个事实本身就具有重大意义。然而，研究人员现在称之为“ThiefQuest”的恶意软件从这里开始变得更加有趣。(研究人员最初将其命名为EvilQuest，直到他们发现了同名的Steam系列游戏。)

 

除了ransomware, ThiefQuest一整套其他间谍软件的功能,允许它漏出文件从受感染的电脑,密码和cryptocurrency钱包数据搜索系统,并运行一个健壮的键盘记录器抓取密码、信用卡号码或其他财务信息作为用户类型。间谍软件组件还长期潜伏在受感染的设备上作为后门，这意味着它甚至会在电脑重启后仍然存在，并可能被用作额外攻击的发射台，或“第二阶段”攻击。鉴于勒索软件在mac电脑上一开始就非常罕见，这一组合拳尤其值得注意。

 

“看看这些代码，如果你把勒索软件的逻辑从所有其他后门逻辑中分离出来，这两部分作为单个恶意软件是完全有意义的。但把它们放在一起，沐鸣开户测速你会觉得怎么样?”“我目前对这一切的直觉是，有人基本上正在设计一个Mac恶意软件，让他们能够完全远程控制受感染的系统。然后他们还添加了一些勒索软件功能，作为一种额外赚钱的方式。”

 

虽然ThiefQuest充满了威胁功能，但它不太可能在短时间内感染你的Mac，除非你下载了盗版的、未经审查的软件。Thomas Reed是Malwarebytes安全公司Mac和移动平台的主管，他发现ThiefQuest被捆绑了一些名牌软件在torrent网站上发布，比如安全应用Little Snitch，混合在Key中的DJ软件，以及音乐制作平台Ableton。K7的德瓦多斯指出，该恶意软件本身被设计成类似于“谷歌软件更新程序”。不过，研究人员说，到目前为止，它似乎没有大量的下载，也没有人向攻击者提供的比特币地址支付赎金。

 

如果你的Mac被感染了，你需要下载一个泄露的安装程序，然后驳回苹果公司的一系列警告才能运行它。这是一个很好的提醒，你应该从可靠的来源购买你的软件，比如那些代码被苹果“签名”以证明其合法性的开发者，或者从苹果的应用程序商店购买。不过，如果你已经在下载程序，并且习惯无视苹果的标志，ThiefQuest就说明了这种做法的风险。

 

苹果公司拒绝对此发表评论。

 

它想要什么?

 

虽然ThiefQuest在融合勒索软件和间谍软件方面拥有广泛的功能，沐鸣开户测速但最终的结果尚不清楚，尤其是因为勒索软件组件似乎还不完整。该恶意软件显示了一张索要赎金的纸条，但它只列出了一个静态的比特币地址，受害者可以在那里汇款。鉴于比特币的匿名特性，想要在收到付款后解密受害者系统的攻击者将无法知道谁已经付款，谁没有付款。此外，该通知没有列出受害者可以使用的电子邮件地址来与攻击者沟通接收解密密钥的情况——这是恶意软件可能并非真正意图勒索的另一个迹象。Jamf的Wardle在他的分析中还发现，虽然恶意软件拥有解密文件所需的所有组件，但它们似乎并没有被设置成在野外工作的样子。

 

研究人员还强调，利用间谍软件进行秘密侦察的攻击者通常希望尽可能分散和不引人注目。加入勒索软件只是宣布恶意软件的存在，很可能会改变用户在设备上的行为，因为他们所有的文件都被加密了，他们会在屏幕上看到一张戏剧性的勒索纸条。在这种情况下，你不可能随意网购，也不可能登录你的银行账户。同理，勒索软件通常不需要在设备上建立持久性，也不需要通过重启来维持，因为它只需要启动加密过程。当一个程序宣称自己是恶意软件，然后继续存在，这只会让安全社区更有可能标记和分析该软件，以在未来阻止它。

 

“我认为，如果你的主要目标是数据泄露，你应该待在后台，尽可能悄无声息地做这件事，并尽可能不被发现，”Malw说