Un nuovo ransomware per Mac è stato scoperto dalle persone di Malwarebytes. Secondo il rapporto, si tratta di una variante del ransomware ‘EvilQuest’ che si sta diffondendo attraverso app Mac piratate.
Il team ha scoperto il ransomware dopo che l’utente di Twitter @beatsballert ha inviato messaggi su un’app Little Snitch piratata su un forum russo, che distribuisce collegamenti torrent. Analizzando il programma di installazione, i ricercatori di Malwarebytes hanno scoperto che non si tratta solo di malware ma di nuovi ransomware.
Apple Mac, attenti ad installare alcune app
Guardando il programma di installazione, il team era scettico poiché esso includeva un pacchetto di installazione generico. Inaspettatamente, il pacchetto ha installato il Little Snitch vero ma ha installato anche un file eseguibile chiamato ‘Patch’ e uno script post installazione. Mentre è comune per gli installatori includere alcuni script, qui è stato fornito in bundle con alcuni malware.
Dopo aver eseguito lo script, la patch si è spostata rapidamente in una posizione diversa e si è ribattezzata ‘CrashReporter’, che è un processo macOS noto. Da lì, la patch si inietta in diverse altre aree. Tuttavia, il ransomware crittografa principalmente i file Keychain e altri file di dati. Successivamente, chiede agli utenti di pagare $ 50 per sbloccare i file.
Ovviamente, la commissione di $ 50 non rimuove il malware, ma è interessante notare che non c’erano in primo luogo istruzioni chiare su come pagare il riscatto. Secondo il rapporto, il malware a volte installa anche un keylogger ma la sua funzionalità è sconosciuta. Malwarebytes rileva il malware come ‘Ransom.OSX.EvilQuest’ e i file infetti possono essere recuperati con un backup precedente.