Ransomware “EvilQuest” Mac

Ransomware “EvilQuest” Mac

Brutte notizie arrivano per tutti i possessori di computer con sistema operativo macOS di Apple

A quanto pare, infatti, negli ultimi giorni è stato individuato un PERICOLOSO ransomware che prende di mira gli utenti Mac.

Cosa fa il ransomware?

Denominato “OSX.EvilQuest”, il ransomware non solo chiede un riscatto dopo avere cifrato vari file sul computer della vittima ma installa programmi molto pericolosi:

  • un keylogger (un software che memorizza tutto quello digitato con la tastiera)
  • una reverse shell (un meccanismo per monitorare da remoto tutto che entra ed esce dalla rete)

e ruba file legati a criptovalute

Insomma, è chiaro che si tratta di qualcosa di molto pericoloso, anche perché, come affermano i ricercatori che lo hanno scoperto, anche se la vittima paga il riscatto richiesto i cybercriminali continuano ad avere accesso alla macchina e possono rubare file e carpire tutto ciò che viene digitato sulla tastiera.

Dove si trova il ransomware?

L’azienda Malwarebytes ha individuato EvilQuest nascosto in copie pirata di software Mac scaricati da portali e forum online che propongono torrent.

LEGGI ANCHE: 

Questo, in pratica, significa che AL MOMENTO il ransomware entra nel Mac solo quando si installano programmi craccati e piratati. Scaricando programmi tramite Apple App Store non dovrebbe esserci nessun problema, almeno per ora. 

Sebbene il ransomware sia incluso solo con le app piratate per ora, Apple deve correggere questo difetto di sicurezza il più rapidamente possibile poiché questo codice dannoso potrebbe in futuro essere incluso anche in altre app legali ma distribuite all’esterno dell’App Store.

Come agisce il ransomware?

Con l’installazione dei software pirata, anche il malware si installa nel computer della vittima e a un certo punto fa comparire un messaggio che indica l’avvio della cifratura dei file (documenti, foto, video, ecc.) invitando entro 3 giorni a pagare il riscatto seguendo le istruzioni indicate nel file “READ_ME_NOW.txt” sulla Scrivania.

Il ransomware cifra (rendendo inaccessibili) varie tipologie di file, inclusi quelli con le seguenti estensioni: .pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat.

Ecco un esempio del messaggio che compare agli utenti:

Al termine della procedura di cifratura, il ransomware installa un keylogger per memorizzare tutto ciò che l’utente digita sulla tastiera e la reverse shell che consente all’attacker di collegarsi con la macchina-host “infetta” ed eseguire comandi personalizzati, inclusi comandi per cercare di individuare criptovalute.

Il malware a quanto pare mima  il meccanismo di aggiornamento di Google Chrome e usa nomi legati al browser di Google per ingannare l’utente convincendolo che ha a che fare con i meccanismi di update di Chrome. 

Come se tutto questo non bastasse, Malwarebytes segnala che ci vuole del tempo prima che il ransomware inizi a funzionare dopo l’installazione, quindi l’utente non lo associa all’ultima app installata.

Una volta attivato il codice dannoso, il ransomware modifica i file di sistema e dell’utente con crittografia sconosciuta e li rende inaccessibili. Parte della crittografia fa sì che il Finder non funzioni correttamente e il sistema si blocchi costantemente. Anche il portachiavi del sistema viene danneggiato, quindi è impossibile accedere a password e certificati salvati sul Mac.

Come difendersi da questo ransomware?

Usando programmi come:

  • RansomWhere, in grado di individuare e bloccare l’esecuzione di EvilQuest
  • Malwarebytes per Mac, che è stata aggiornata ed è in grado di individuare il ransomware prima che faccia danni.

E poi, ovviamente, valgono i consigli di sempre: non scaricare software da siti sconosciuti o torrent che condividono contenuti pirata.

E se ho già installato il ransomware?

Attualmente, l’unico modo per sbarazzarsi del malware dopo che ha crittografato i file, è formattare l’intero disco, quindi è consigliabile eseguire periodicamente un backup.

FONTE

🔔Hai bisogno di aiuto o assistenza? Scrivici sul nostro canale Telegram >>> QUI!

📱Cerchi smartphone scontati? Comprali al miglior prezzo su >>> Amazon!

🎯Risparmia con OfferTech su Telegram: trova le migliori offerte tecnologiche!

🌟Se hai fame di notizie, segui YourLifeUpdated su Google Newsclicca sulla stellina per inserirci nei preferiti!

VUOI AMAZON MUSIC UNLIMITED GRATIS? SCOPRI COME!

Vuoi ricevere ogni giorno i nostri articoli via email GRATIS? Scrivi la tua email qua sotto

LEAVE A REPLY

Please enter your comment!
Please enter your name here