Вымогатель EvilQuest для Mac распространяется через пиратские приложения для Mac

В экосистеме Mac распространяется новая программа-вымогатель, которая распространяется через пиратские приложения Mac.

Согласно отчету, опубликованному сегодня Malwarebytes , новая программа-вымогатель называется «EvilQuest», а основная модель распространения — через пиратские приложения для Mac. Последняя угроза безопасности была первоначально обнаружена в пиратской версии Mac-приложения Little Snitch, которым поделились на одном из российских форумов.

Установка пиратской версии приложения позволила установщику получить полную версию самого приложения, но затем установка также включала дополнительный исполняемый файл с надписью «patch».
Этот файл хранился в каталоге  Users / Shared  , включая сценарий после установки, который заразил компьютер, на котором было установлено приложение. Изучение этого установщика показало, что он установит в  /Users/Shared/  каталог то, что оказалось законным установщиком Little Snitch и приложениями для удаления, а также исполняемый файл с именем «patch» .
Установщик также содержал сценарий после установки — сценарий оболочки, который выполняется после завершения процесса установки.
Обычно этот тип установщика содержит сценарии предварительной и / или последующей установки для подготовки и очистки, но в этом случае сценарий использовался для загрузки вредоносной программы и последующего запуска законного установщика Little Snitch.
Затем этот установочный сценарий перемещает «патч» в отдельное новое место и переименовывает его в «CrashReporter». Это законный процесс macOS, что означает, что он в основном скрыт в Activity Monitor. Как только этот процесс будет завершен, он установится в нескольких местах программного обеспечения Mac.

Вымогатель EvilQuest для Mac OSx

После завершения программа-вымогатель зашифрует файлы данных и настройки, что аналогично тому, как работает Keychain — еще одно законное программное обеспечение на Mac. При попытке доступа к Связке ключей iCloud пользователю будет предложено сообщение об ошибке, которое вы можете увидеть на рисунке чуть выше. В дополнение к этому, док-станция начала портиться вместе с другими приложениями, и Finder также начал действовать.

По всей видимости, злоумышленники, стоящие за этой новой программой-вымогателем, просят 50 долларов за доступ к выкупленной системе. Однако Malwarebytes сообщает, что программа-вымогатель работает относительно плохо. Тем не менее, он также включает в себя регистратор ключей, который может регистрировать нажатия клавиш, введенные в системе и на посещенных веб-сайтах.

У Malwarebytes есть несколько предложений на тот случай, если программа-вымогатель окажется в вашей системе (чего можно избежать, если не устанавливать пиратские приложения для Mac, например):

Если вы заразились этим вредоносным ПО, вам нужно как можно быстрее избавиться от него. Malwarebytes для Mac обнаружит это вредоносное ПО как Ransom.OSX.EvilQuest и удалит его.

Если ваши файлы зашифрованы, мы не уверены, насколько это ужасно. Это зависит от шифрования и того, как обрабатываются ключи. Возможно, дальнейшие исследования могут привести к способу расшифровки файлов, а также возможно, что этого не произойдет.

Лучший способ избежать последствий от программ-вымогателей — поддерживать хороший набор резервных копий. Сохраните как минимум две резервные копии всех важных данных, и хотя бы одну не следует постоянно прикреплять к вашему Mac. (Программа-вымогатель может попытаться зашифровать или повредить резервные копии на подключенных дисках.)
Хотя в настоящее время эта проблема не является широко распространенной, всегда полезно знать об этих ситуациях по мере их обнаружения. Ознакомьтесь с полной записью в блоге Malwarebytes, если хотите вникнуть в суть этой последней попытки вымогателя.

Пишите, если есть вопросы к автору или хотете поделиться опытом: