È stato individuato un ransomware che colpisce i Mac denominato “OSX.EvilQuest”, il quale non solo chiede un riscatto dopo avere cifrato i file sul computer della vittima, ma installa un keylogger che memorizza tutto ciò che viene digitato con la tastiera.
Alcuni ricercatori esperti in sicurezza stanno cercando di individuare debolezze o bug nello schema di cifratura del ransomware per poter creare un decryptor con il quale poter aiutare eventuali vittime del malware a recuperare file cifrati.
EvilQuest è stato individuato in un pacchetto software denominato “Google Software Update”, ma anche in copie pirata del software per DJ “Mixed In Key” e “Little Snitch”, un firewall host-based per macOS.
Con l’installazione dei software pirata, il malware si annida nel computer della vittima e fa comparire un messaggio che indica l’avvio della cifratura dei file con estensioni:
.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat.
A seguire intima il pagamento del riscatto entro 3 giorni seguendo le istruzioni indicate nel file “READ_ME_NOW.txt” sulla Scrivania.
L’utility Malwarebytes per Mac è stata aggiornata ed è in grado di individuare il ransomware prima che prenda possesso della macchina.
I consigli sono quelli validi sempre: non scaricate software da siti sconosciuti o torrent che condividono contenuti pirata. I cybercriminali spesso propongono contenuti gratuiti come esca contenente malware per infettare i computer degli utenti o lanciare attacchi.
Grazie a Giona Guidi per la segnalazione.