Η ομάδα που βρίσκεται πίσω από το Mac malware, το οποίο είναι γνωστό με την ονομασία ThiefQuest, συνεχίζει να ενισχύει και να βελτιώνει το δημιούργημά της, ενώ ερευνητές παρατήρησαν ότι οι τελευταίες εκδόσεις αυτής της απειλής δεν περιλαμβάνουν τη λειτουργικότητα ransomware. Έχοντας παρατηρηθεί για πρώτη φορά στα τέλη Ιουνίου, το ThiefQuest, γνωστό και ως EvilQuest, αρχικά φάνηκε να είναι ένα κομμάτι ransomware, αλλά μια λεπτομερής ανάλυση υπέδειξε ότι αυτό επέτρεπε επίσης στους χειριστές του να κλέβουν δεδομένα και να αναλαμβάνουν τον πλήρη έλεγχο μιας μολυσμένης συσκευής. Επιπλέον, οι ερευνητές παρατήρησαν ότι η λειτουργικότητα ransomware ήταν ελλιπής και ότι ο κύριος στόχος του malware ίσως ήταν να μην βοηθήσει τους απειλητικούς παράγοντες να αποκομίσουν κέρδη από τα λύτρα που κατέβαλαν τα θύματα.
Φαίνεται ότι οι χάκερς του ThiefQuest δεν είχαν λάβει υπόψιν την αποκατάσταση κρυπτογραφημένων αρχείων, ενώ, ακόμη, δεν κατέβαλαν πολύ προσπάθεια για να διασφαλίσουν ότι δεν είναι δυνατή η ανάκτηση κρυπτογραφημένων αρχείων, επιτρέποντας στην SentinelOne να αναπτύξει ένα εργαλείο, το οποίο δίνει τη δυνατότητα στα θύματα να επαναφέρουν αρχεία.
Παρόλο που οι δυνατότητες του ransomware ενδέχεται να μην ξεχωρίζουν, το ThiefQuest επιτρέπει στους χειριστές του να κλέβουν διάφορους τύπους πληροφοριών, συμπεριλαμβανομένων εικόνων, εγγράφων, βάσεων δεδομένων, πηγαίου κώδικα, κλειδιών κρυπτογράφησης και πορτοφολιών κρυπτογράφησης.
Οι ερευνητές της Trend Micro ανέλυσαν πολλά δείγματα του Mac malware και παρατήρησαν ότι οι δημιουργοί του συνεχίζουν να κάνουν αλλαγές και βελτιώσεις. Ειδικότερα, διαπίστωσαν πως οι τελευταίες παραλλαγές του ThiefQuest δεν περιλαμβάνουν λειτουργίες κρυπτογράφησης αρχείων και ότι το malware δεν αφήνει πλέον μια σημείωση λύτρων. Αξίζει να σημειωθεί ότι οι αρχικές παραλλαγές του malware, οι οποίες παρατηρήθηκαν για πρώτη φορά στις αρχές Ιουνίου, επικεντρώθηκαν στην παροχή δυνατοτήτων backdoor, ενώ η λειτουργικότητα ransomware εφαρμόστηκε μόνο στη δεύτερη και τρίτη γενιά. Ωστόσο, η τέταρτη γενιά, που εμφανίστηκε στις αρχές Ιουλίου, δεν περιλαμβάνει δυνατότητες ransomware.
Από την άλλη πλευρά, οι ερευνητές της Trend Micro παρατήρησαν μία νέα λειτουργικότητα που επιτρέπει στο malware να εκτελεί εικόνες και αρχεία ήχου, χρησιμοποιώντας τις προεπιλεγμένες εφαρμογές macOS. Αυτό ίσως υποδηλώνει ότι οι δημιουργοί του ThiefQuest σχεδιάζουν να επαναφέρουν τη λειτουργικότητα ransomware, καθώς οι προηγούμενες παραλλαγές της απειλής εμφάνιζαν τη σημείωση λύτρων σε ένα παράθυρο και χρησιμοποιούσαν τη δυνατότητα ομιλίας σε macOS για να την διαβάσουν στα στοχοποιημένα θύματα. Τα νέα χαρακτηριστικά θα μπορούσαν να χρησιμοποιηθούν για παρόμοιους σκοπούς στο μέλλον.
Άλλες αλλαγές που εντοπίστηκαν από την Trend Micro σε πιο πρόσφατες παραλλαγές του ThiefQuest, σχετίζονται με την ανάγνωση payload, τη συμπίεση και την αποσυμπίεση, τη δημιουργία διευθύνσεων IP για τον C&C server και τις αλλαγές σε ονόματα αρχείων και σε server subdomain names.
Οι δημιουργοί του ThiefQuest έχουν επίσης προχωρήσει σε ορισμένες βελτιώσεις στη λειτουργικότητα που έχει σχεδιαστεί για να προσδιορίσει εάν το malware εκτελείται σε περιβάλλον ανάλυσης, το οποίο θα πρέπει να αποτρέψει την ανάλυση του ThiefQuest από ερευνητές. Τέλος, το malware ελέγχει το παραβιασμένο σύστημα για την παρουσία προϊόντων ασφαλείας και σε περίπτωση που βρει τέτοια προϊόντα, προσπαθεί να τα τερματίσει.
