ผู้เชี่ยวชาญเตือนเรื่อง Turtle ransomware macOS

517/66 (IT) ประจำวันจันทร์ที่ 4 ธันวาคม 2566

Patrick Wardle นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้วิเคราะห์ Turtle ransomware macOS ตัวใหม่ที่ใช้ในการกำหนดเป้าหมายอุปกรณ์ Apple โดย Wardle ชี้ให้เห็นว่าเนื่องจาก Turtle ถูกอัปโหลดบน Virus Total จึงถูกระบุว่าอันตรายจากโซลูชันสำหรับการป้องกันมัลแวร์หลายตัว ซึ่งบ่งบอกว่านี่ไม่ใช่ภัยคุกคามที่ซับซ้อน แต่อย่างไรก็ตาม โดยทั่วไปโค้ดที่เป็นอันตรายจะถูกตรวจพบว่าเป็น อื่นๆ : Malware-gen”, “Trojan.Generic” หรือ “ภัยคุกคามที่เป็นไปได้” ในบางกรณี โซลูชันป้องกันไวรัสจะตั้งค่าสถานะไบนารี่ว่าเป็นมัลแวร์ Windows (“Win32.Troj.Undef”) โดยผู้เชี่ยวชาญคาดการณ์ว่ามัลแวร์นี้ได้รับการพัฒนาครั้งแรกสำหรับ Windows จากนั้นจึงย้ายไปยัง macOS เอ็นจิ้น AV เดียวเท่านั้นที่ตรวจพบโค้ดที่เป็นอันตรายในชื่อ “Ransom.Turtle” เนื่องจากชื่อภายในของมัลแวร์  โดยหากเราดาวน์โหลดไฟล์เก็บถาวรและแตกไฟล์ เราจะพบว่าไฟล์นั้นมีไฟล์ (นำหน้าด้วย “TurtleRansom”) ที่ดูเหมือนว่าจะรวบรวมไว้สำหรับแพลตฟอร์มทั่วไป รวมถึง Windows, Linux และว macOS    

โดย Turtle ransomware ทำการอ่านไฟล์ลงในหน่วยความจำ เข้ารหัสด้วย AES (ในโหมด CTR) เปลี่ยนชื่อไฟล์ จากนั้นเขียนทับเนื้อหาต้นฉบับของไฟล์ด้วยข้อมูลที่เข้ารหัส มัลแวร์เพิ่มนามสกุล “ TURTLERANSv0” ให้กับชื่อไฟล์ของไฟล์ที่เข้ารหัสซึ่งมัลแวร์ไม่ได้มีความซับซ้อน แต่การค้นพบเวอร์ชัน macOS สำหรับ Turtle ransomware บ่งชี้ว่ากำลังได้รับความนิยมในกลุ่มอาชญากรรมไซเบอร์ ทั้งนี้ Wardle ยังค้นพบสตริงต่างๆ ในภาษาจีน สตริงเหล่านี้บางส่วนเกี่ยวข้องกับการทำงานของแรนซัมแวร์ เช่น “加密文件” ซึ่งแปลเป็น “เข้ารหัสไฟล์” อย่างไรก็ตาม การมีอยู่ของสตริงเหล่านี้ไม่เพียงพอที่จะระบุแหล่งที่มาของมัลแวร์ว่าเป็นภัยคุกคามจากกลุ่มใด

แหล่งข่าว https://securityaffairs.com/155075/security/turtleransom-macos-ransomware.html