Gli utenti Mac sono esposti a un nuovo ransomware di nome “EvilQuest” che crittografa i file e causa numerosi problemi al sistema operativo. Malwarebytes ha analizzato il ransomware, che viene distribuito tramite app pirata per macOS.
Il codice dannoso è stato trovato per la prima volta in una copia pirata dell’app Little Snitch disponibile su un forum russo con collegamenti torrent. L’app scaricata viene fornita con un file di installazione PKG, a differenza della versione originale.
Esaminando questo file PKG, Malwarebytes ha scoperto che l’app viene fornita con uno “script postinstallazione“, che viene generalmente utilizzato per ripulire l’installazione al termine del processo. In questo caso, tuttavia, lo script implementa un malware su macOS. Il file di script viene copiato in una cartella correlata all’app Little Snitch con il nome CrashReporter, quindi l’utente non lo noterà in esecuzione in Activity Monitor poiché macOS ha un’app interna con un nome simile. La posizione impostata è: / Library / LittleSnitchd / CrashReporter.
Malwarebytes nota che ci vuole del tempo prima che il ransomware inizi a funzionare dopo l’installazione, quindi l’utente probabilmente non lo assocerà all’ultima app installata. Una volta attivato, il codice dannoso modifica i file di sistema e dell’utente con crittografia sconosciuta.
A causa di ciò, il Finder non funziona più correttamente e il sistema si blocca costantemente. Anche il portachiavi del sistema viene danneggiato, quindi è impossibile accedere a password e certificati salvati sul Mac. Un messaggio sullo schermo dice che l’utente deve pagare 50 dollari per recuperare i suoi file, altrimenti tutto verrà cancellato dopo tre giorni.
Al momento l’unico modo di sbarazzarsi del malware dopo che ha crittografato i file è formattare l’intero disco, quindi è consigliato avere sempre un backup dei propri dati aggiornato.
Sebbene il ransomware “EvilQuest” sia incluso solo con le app piratate per ora, Apple deve correggere questo problema di sicurezza il più rapidamente possibile poiché questo codice dannoso può essere incluso anche nelle app distribuite all’esterno del Mac App Store.