Ricercatori specializzati in sicurezza hanno individuato un ransomware che prende di mira gli utenti Mac. Denominato “OSX.EvilQuest”, il ransomware non solo chiede un riscatto dopo avere cifrato vari file sul computer della vittima ma installa un keylogger (un software che memorizza tutto quello digitato con la tastiera), una reverse shell (un meccanismo per monitorare da remoto tutto che entra ed esce dalla rete) e ruba file legati a criptovalute.
“Armato di queste funzionalità, l’attacker può ottenere pieno controllo della macchina host infetta”, spiega Patrick Wardle, Principal Security Researcher presso Jamf. In pratica, anche se la vittima paga il riscatto richiesto, i cybercriminali continuano ad avere accesso alla macchina e possono rubare file e carpire tutto ciò che viene digitato sulla tastiera.
Wardle – riferisce ZDNet – è uno dei ricercatori che stanno esaminando il nuovo malware; altri ricercatori che si occupano del ransomware in questione, sono: Thomas Reed, responsabile Mac & Mobile presso Malwarebytes, e Phil Stokes, ricercatore specializzato in sicurezza macOS presso SentinelOne.
Reed e Stokes stanno cercando di individuare debolezze o bug nello schema di cifratura del ransomware per poter creare un decryptor con il quale poter aiutare eventuali vittime del malware a recuperare file cifrati. Il ransomware è stato ad ogni modo individuato prima da Dinesh Devadoss, ricercatore di K7 Lab, altra azienda che si occupa di sicurezza informatica.
Devadoss ha scritto in un tweet del 29 giugno quanto scoperto ma nel frattempo non sono emerse novità di rilievo ed è probabile che il ransomware sia in circolazione da poco tempo. Reed ha riferito a ZDNet che Malwarebytes ha individuato EvilQuest nascosto in copie pirata di software Mac scaricati da portali e forum online.che propongono torrent.
Devadoos ha individuato EvilQuest nascosto in un pacchetto software denominato “Google Software Update”; Wardle ha individuato il malware in copie pirata del software per DJ “Mixed In Key” e Reed invece in copie-pirata di “Little Snitch”, un firewall host-based per macOS.
Con l’installazione dei software pirata dopo avere indicato le credenziali dell’utente-amministratore, il malware si installa nel computer della vittima e a un certo punto fa comparire un messaggio che indica l’avvio della cifratura dei file (documenti, foto, video, ecc.) invitando entro 3 giorni a pagare il riscatto seguendo le istruzioni indicate nel file “READ_ME_NOW.txt” sulla Scrivania. Il ransomware cifra varie tipologie di file, inclusi quelli con le seguenti estensioni: .pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat.
Al termine della procedura di cifratura, il ransomware installa un keylogger per memorizzare tutto ciò che l’utente digita sulla tastiera e la reverse shell che consente all’attacker di collegarsi con la macchina-host “infetta” ed eseguire comandi personalizzati, inclusi comandi per cercare di individuare criptovalute. Il malware a quanto pare mima il meccanismo di aggiornamento di Google Chrome e usa nomi legati al browser di Google per ingannare l’utente convincendolo che ha a che fare con i meccanismi di update di Chrome.
Wardle ha creato vari strumenti dedicati alla sicurezza di macOS, incluso un tool rilasciato nel 2016 denominato RansomWhere in grado di individuare e bloccare l’esecuzione di EvilQuest. Anche l’utility Malwarebytes per Mac è stata aggiornata ed è in grado di individuare il ransomware prima che faccia danni.
I consigli sono quelli validi sempre: non scaricate software da siti sconosciuti o torrent che condividono contenuti pirata. I cybercriminali spesso propongono contenuti gratuiti come esca contenente malware per infettare i computer degli utenti o lanciare attacchi.
A questo indirizzo trovate un lungo articolo che spiega come tenere sempre al sicuro il Mac, tenendo conto di alcuni semplici accorgimenti.
