El ransomware ‘EvilQuest’ para Mac se propaga a través de aplicaciones pirateadas para Mac

Se está distribuyendo un nuevo ransomware en todo el ecosistema de Mac, y se está propagando a través de aplicaciones de Mac pirateadas.

Según el informe compartido hoy por Malwarebytes , el nuevo ransomware se llama «EvilQuest» y el modelo de distribución principal es a través de aplicaciones Mac pirateadas. La última amenaza de seguridad se descubrió inicialmente en una versión pirateada de la aplicación para Mac Little Snitch, que se compartió en un foro ruso.

La instalación de esa versión pirateada de la aplicación hizo posible que el instalador obtuviera la versión completa de la aplicación, pero luego la instalación también incluyó un archivo ejecutable adicional llamado «parche». Este archivo se almacenó en el directorio Usuarios/Compartido, incluido un script posterior a la instalación que infectó la máquina donde se instaló la aplicación.

El examen de este instalador reveló que instalaría lo que resultó ser el instalador y desinstalador legítimo de Little Snitch, así como un archivo ejecutable llamado «parche», en el /Users/Shared/directorio.

El instalador también contenía una secuencia de comandos posterior a la instalación, una secuencia de comandos de shell que se ejecuta una vez que se completa el proceso de instalación. Es normal que este tipo de instalador contenga scripts de preinstalación y/o postinstalación, para preparación y limpieza, pero en este caso el script se usó para cargar el malware y luego iniciar el instalador legítimo de Little Snitch.

Ese script de instalación luego mueve el «parche» a una nueva ubicación separada y lo renombra como «CrashReporter». Este es un proceso macOS legítimo, lo que significa que básicamente está oculto dentro del Monitor de actividad. Una vez que se realiza ese proceso, se instala en varias ubicaciones dentro del software de la Mac.

Una vez completado, el ransomware cifrará los archivos de datos y la configuración, que es un proceso similar a cómo funciona el llavero, otra pieza de software legítima en la Mac. Al intentar acceder al llavero de iCloud, se le indicará un error al usuario, que puede ver en la imagen de arriba. Además de eso, el muelle comenzó a estropearse, junto con otras aplicaciones, y el Finder también comenzó a fallar.

Aparentemente, los atacantes detrás de este nuevo ransomware están pidiendo $50 para acceder al sistema rescatado. Sin embargo, Malwarebytes dice que el ransomware funciona relativamente mal. Sin embargo, también incluye un registrador de teclas, que puede registrar las pulsaciones de teclas ingresadas en todo el sistema y en los sitios web visitados.

Malwarebytes tiene algunas sugerencias en caso de que el ransomware termine en su sistema (que puede evitar si no instala aplicaciones pirateadas de Mac, por ejemplo):

Si se infecta con este malware, querrá deshacerse de él lo más rápido posible. Malwarebytes para Mac detectará este malware como Ransom.OSX.EvilQuest y lo eliminará.

Si sus archivos se cifran, no estamos seguros de cuán grave es la situación. Depende del cifrado y de cómo se manejen las claves. Es posible que una mayor investigación pueda conducir a un método para descifrar archivos, y también es posible que eso no suceda.

La mejor manera de evitar las consecuencias del ransomware es mantener un buen conjunto de copias de seguridad. Mantenga al menos dos copias de seguridad de todos los datos importantes, y al menos una no debe estar conectada a su Mac en todo momento. (El ransomware puede intentar cifrar o dañar las copias de seguridad en las unidades conectadas).

Si bien esto parece no ser un problema generalizado en este momento, siempre es bueno estar al tanto de estas situaciones a medida que se descubren. Vaya a ver la publicación completa del blog de Malwarebytes si desea profundizar en el verdadero meollo de este último intento de ransomware.