Gli utenti Mac sono in questo periodo esposti ad un nuovo ransomware chiamato "EvilQuest" che crittografa i file sui dispositivi e causa problemi al sistema operativo. Malwarebytes ha analizzato oggi il ransomware, che viene distribuito tramite le app pirata per macOS.

Il codice dannoso è stato trovato per la prima volta in una copia pirata dell'app Little Snitch disponibile su un forum russo con collegamenti torrent. L'app scaricata viene fornita con un file di installazione PKG, a differenza della versione originale.

Esaminando questo file PKG, Malwarebytes ha scoperto che l'app viene fornita con uno "script post-installazione", che viene in genere utilizzato per ripulire l'installazione al termine del processo. In questo caso, tuttavia, lo script implementa un malware su macOS.

Il file di script viene copiato in una cartella correlata all'app Little Snitch con il nome CrashReporter, quindi l'utente non lo noterà in esecuzione in Activity Monitor poiché macOS ha un'app interna con un nome simile. La posizione pre-impostata è: /Library/LittleSnitchd/CrashReporter.

Malwarebytes osserva che ci vuole del tempo prima che il ransomware inizi a funzionare dopo l'installazione, quindi l'utente difficilmente tenderà ad associarlo all'ultima app installata. Una volta attivato, il codice dannoso modifica i file di sistema dell'utente con una crittografia sconosciuta.

Parte della crittografia fa sì che il Finder non funzioni correttamente e che il sistema si blocchi costantemente. Anche il portachiavi del sistema viene danneggiato, quindi è impossibile accedere a password e certificati salvati sul Mac. Un messaggio sullo schermo comunica all'utente che dovrà pagare 50 dollari per recuperare i suoi file, altrimenti tutto verrà cancellato dopo tre giorni.

Non c'è ancora modo di sbarazzarsi del malware dopo che ha crittografato i file senza formattare l'intero disco, quindi è consigliabile che gli utenti mantengano un backup aggiornato di tutto il sistema.

Questo è sicuramente il modo migliore per evitare le conseguenze del ransomware. Conservate almeno due copie di backup di tutti i dati importanti e almeno uno di questi non deve essere collegato al Mac, in quanto il ransomware potrebbe tentare di crittografare o danneggiare i backup su unità connesse.

Nonostante il ransore sia incluso solo con le app piratate per ora, Apple dovrà correggere questo difetto di sicurezza il più rapidamente possibile, poiché questo codice dannoso può essere incluso in più app distribuite all'esterno dell'App Store.

È possibile leggere ulteriori dettagli tecnici a proposito del ransomware EvilQuest sul sito web di Malwarebytes.