TURTLE MACOS

B. ผู้เชี่ยวชาญเตือนเรื่องแรนซั่มแวร์ TURTLE MACOS

Patrick Wardle นักวิจัยด้านความปลอดภัยทางไซเบอร์ยอดนิยมได้วิเคราะห์ Turtle ransomware macOS ตัวใหม่ที่ใช้ในการกำหนดเป้าหมายอุปกรณ์ Apple

Patrick Wardle นักวิจัยด้านความปลอดภัยทางไซเบอร์ชื่อดังได้ตีพิมพ์บทวิเคราะห์โดยละเอียดของ Turtle แรนซัมแวร์ macOS ตัวใหม่

Wardle ชี้ให้เห็นว่าเนื่องจาก Turtle ถูกอัพโหลดบน Virus Total จึงถูกระบุว่าเป็นอันตรายจากโซลูชั่นป้องกันมัลแวร์ 24 ตัว ซึ่งบ่งบอกว่านี่ไม่ใช่ภัยคุกคามที่ซับซ้อน อย่างไรก็ตาม โดยทั่วไปโค้ดที่เป็นอันตรายจะถูกตรวจพบว่าเป็น “อื่นๆ:Malware-gen”, “Trojan.Generic” หรือ “ภัยคุกคามที่เป็นไปได้” ในบางกรณี โซลูชันป้องกันไวรัสจะตั้งค่าสถานะไบนารี่ว่าเป็นมัลแวร์ Windows (“Win32.Troj.Undef”)

ผู้เชี่ยวชาญคาดการณ์ว่ามัลแวร์นี้ได้รับการพัฒนาครั้งแรกสำหรับ Windows จากนั้นจึงย้ายไปยัง macOS

เอ็นจิ้น AV เดียวเท่านั้นที่ตรวจพบโค้ดที่เป็นอันตรายในชื่อ “Ransom.Turtle” เนื่องจากชื่อภายในของมัลแวร์

“หากเราดาวน์โหลดไฟล์เก็บถาวรและแตกไฟล์ เราจะพบว่าไฟล์นั้นมีไฟล์ (นำหน้าด้วย “TurtleRansom”) ที่ดูเหมือนว่าจะรวบรวมไว้สำหรับแพลตฟอร์มทั่วไป รวมถึง Windows, Linux และใช่แล้ว macOS” อ่านบทวิเคราะห์ที่เผยแพร่โดย Wardle โค้ดที่เป็นอันตรายได้รับการลงนามเฉพาะกิจเท่านั้น และ Gatekeeper ควรบล็อกมัน Wardle อธิบาย ไบนารี่ยังขาดความสับสน

Turtle ransomware อ่านไฟล์ลงในหน่วยความจำ เข้ารหัสด้วย AES (ในโหมด CTR) เปลี่ยนชื่อไฟล์ จากนั้นเขียนทับเนื้อหาต้นฉบับของไฟล์ด้วยข้อมูลที่เข้ารหัส มัลแวร์เพิ่มนามสกุล “ TURTLERANSv0” ให้กับชื่อไฟล์ของไฟล์ที่เข้ารหัส

มัลแวร์ไม่ได้ซับซ้อน แต่การค้นพบเวอร์ชัน macOS สำหรับแรนซัมแวร์ Turtle บ่งชี้ว่ากำลังได้รับความนิยมในอาชญากรรมไซเบอร์ใต้ดิน

Wardle ค้นพบสตริงต่างๆ ในภาษาจีน สตริงเหล่านี้บางส่วนเกี่ยวข้องกับการทำงานของแรนซัมแวร์ เช่น “加密文件” ซึ่งแปลเป็น “เข้ารหัสไฟล์” อย่างไรก็ตาม การมีอยู่ของสตริงเหล่านี้ไม่เพียงพอที่จะระบุแหล่งที่มาของมัลแวร์ว่าเป็นภัยคุกคามเฉพาะราย

แหล่งที่มา https://securityaffairs.com/155075/security/turtleransom-macos-ransomware.html