E' stato individuato un malware per la cancellazione e il furto dati chiamato ThiefQuest: utilizza un ransomware come copertura, ma il vero scopo sembra essere quello di rubare informazioni sensibili agli utenti Mac. Il malware si diffonde tramite installer crakkati di app popolari: i file installer, diffusi via torrent, altro non sono che una copertura per il malware.
Va detto che non è affatto comune, ma i ransomware pensati per colpire la piattaforma macOs non sono nuovi: in passato ci sono stati KeRanger, FileCoder e altri malware con varie funzionalità compresa quella di criptare i sistemi. ThiefQuest pare, in prima battuta, inserirsi in questa lista.
Dalle prime analisi è risultato che ThiefQuest ha la capacità di verificare se si trovi in esecuzione in una virtual machine o in una sandbox ed è dotato di alcune funzionalità anti debug: i suoi sviluppatori hanno lavorato non poco per impedire che i ricercatori potessero analizzare il codice. Il malware verifica anche la presenza di alcuni tool di sicurezza piuttosto diffusi come il firewaell Little Snitch e soluzioni antimalware come Kaspersky, Norton, Avast, DrWeb, Bitdefender, McAfee ecc...
Le comunicazioni col server di comando e controllo avvengono tramite una reverse shell: il malware si connette al dominio http://andrewka6.pythonanywhere[.]com/ret.txt per ottenere l'indirizzo IP del server di comando e controllo per scaricare ulteriori file dannosi e inviare dati dal sistema infetto. Nei fatti, spiegano i ricercatori, con queste capacità l'attaccante può mantenere il controllo completo sull'host infetto.
La distribuzione avviene sui siti torrent