EvilQuest sta minacciando i sistemi macOS. Si tratta di un ransomware che può essere installato dall’utente attraverso altri software contraffatti ad-hoc

Sta circolando una nuova variante di ransomware su macOS. Si chiama EvilQuest e si può insediare in ogni sistema attraverso l’installazione di software pirata manomessi ad-hoc. A rivelare la novità è stata la società di sicurezza Malwarebytes, che ha scritto di aver trovato il codice malevolo per la prima volta all’interno di una versione contraffatta di Little Snitch proposta da un forum russo.

Un occhio esperto può capire rapidamente che c’è qualcosa di insolito nella versione illecita del software, visto che viene installata attraverso un installer generico. Insieme all’applicazione questo inserisce nel sistema un file eseguibile chiamato “Patch” nella cartella “/Users/Shared” insieme a uno script post-install sviluppato per infettare il sistema. Nello specifico lo script sposta il file Patch in una nuova posizione e lo rinomina CrashReporter, un processo macOS legittimo, mantenendolo nascosto in Activity Monitor. Da lì, il file Patch si installa in diversi punti sul Mac.

Cos’è un ransomware
Un ransomware è un software che blocca attraverso protezione crittografica le impostazioni e i file su un sistema usando una chiave di cifratura che è nota solo all’aggressore che pianifica l’attacco, e non all’utente che utilizza il sistema. Quando si tenta di accedere ai file “protetti” si riceve un avviso e serve la chiave di cifratura per sbloccarli, chiave che di norma viene ceduta dall’aggressore solo in seguito a un pagamento. Da qui il nome “ransomware”, da ransom che significa riscatto.

Il funzionamento di EvilQuest è analogo: blocca i file e le impostazioni sul Mac infetto, così come anche il Portachiavi causando un errore anche quando si tenta di accedere al Portachiavi iCloud. Anche il Finder non funziona correttamente dopo l’installazione e si presentano problemi con il dock e altre app installate sul sistema. Malwarebytes ha notato che, nel caso specifico del test eseguito, il ransomware ha avuto problemi nel proporre le istruzioni per il riscatto.

Indagando sul forum russo in cui è stato diffuso il software, però, ha scoperto che l’obiettivo del ransomware è quello di obbligare gli utenti a pagare 50$ per riottenere l’accesso ai propri file. Non è questa però la soluzione al problema, come spesso avviene con questo tipo di malware.

Come proteggersi
Chiunque abbia un sistema infetto da qualsiasi ransomware non dovrebbe pagare la commissione, perché non è detto che la procedura sia in grado di rimuovere del tutto il malware. In questo caso, inoltre, il ransomware può essere installato sul sistema insieme a un software keylogger capace di raccogliere tutte le sequenze di tasti. Malwarebytes suggerisce il proprio software per sistemi Mac per rimuovere il ransomware, che viene rilevato come Ransom.OSX.EvilQuest, ma la procedura non consente di recuperare i file crittografati (serve il ripristino da un backup).

Il problema deve essere evitato a priori, come spesso avviene con malware di questo tipo. Codici malevoli simili ad EvilQuest sono stati trovati anche in altri software pirata diffusi online, e gli utenti Mac possono evitarli mantenendosi a distanza da fonti inaffidabili e non ufficiali, installando le applicazioni sul proprio sistema attraverso il Mac App Store o i siti web ufficiali degli sviluppatori.