Un ransomware sta circolando su macOS: come funziona e come proteggersi

Un ransomware sta circolando su macOS: come funziona e come proteggersi

EvilQuest sta minacciando i sistemi macOS. Si tratta di un ransomware che può essere installato dall'utente attraverso altri software contraffatti ad-hoc

di pubblicata il , alle 14:41 nel canale Apple
ApplemacOSiMacMac ProMacBook
 

Sta circolando una nuova variante di ransomware su macOS. Si chiama EvilQuest e si può insediare in ogni sistema attraverso l'installazione di software pirata manomessi ad-hoc. A rivelare la novità è stata la società di sicurezza Malwarebytes, che ha scritto di aver trovato il codice malevolo per la prima volta all'interno di una versione contraffatta di Little Snitch proposta da un forum russo.

Un occhio esperto può capire rapidamente che c'è qualcosa di insolito nella versione illecita del software, visto che viene installata attraverso un installer generico. Insieme all'applicazione questo inserisce nel sistema un file eseguibile chiamato "Patch" nella cartella "/Users/Shared" insieme a uno script post-install sviluppato per infettare il sistema. Nello specifico lo script sposta il file Patch in una nuova posizione e lo rinomina CrashReporter, un processo macOS legittimo, mantenendolo nascosto in Activity Monitor. Da lì, il file Patch si installa in diversi punti sul Mac.

Cos'è un ransomware

Un ransomware è un software che blocca attraverso protezione crittografica le impostazioni e i file su un sistema usando una chiave di cifratura che è nota solo all'aggressore che pianifica l'attacco, e non all'utente che utilizza il sistema. Quando si tenta di accedere ai file "protetti" si riceve un avviso e serve la chiave di cifratura per sbloccarli, chiave che di norma viene ceduta dall'aggressore solo in seguito a un pagamento. Da qui il nome "ransomware", da ransom che significa riscatto.

Il funzionamento di EvilQuest è analogo: blocca i file e le impostazioni sul Mac infetto, così come anche il Portachiavi causando un errore anche quando si tenta di accedere al Portachiavi iCloud. Anche il Finder non funziona correttamente dopo l'installazione e si presentano problemi con il dock e altre app installate sul sistema. Malwarebytes ha notato che, nel caso specifico del test eseguito, il ransomware ha avuto problemi nel proporre le istruzioni per il riscatto.

Indagando sul forum russo in cui è stato diffuso il software, però, ha scoperto che l'obiettivo del ransomware è quello di obbligare gli utenti a pagare 50$ per riottenere l'accesso ai propri file. Non è questa però la soluzione al problema, come spesso avviene con questo tipo di malware.

Come proteggersi

Chiunque abbia un sistema infetto da qualsiasi ransomware non dovrebbe pagare la commissione, perché non è detto che la procedura sia in grado di rimuovere del tutto il malware. In questo caso, inoltre, il ransomware può essere installato sul sistema insieme a un software keylogger capace di raccogliere tutte le sequenze di tasti. Malwarebytes suggerisce il proprio software per sistemi Mac per rimuovere il ransomware, che viene rilevato come Ransom.OSX.EvilQuest, ma la procedura non consente di recuperare i file crittografati (serve il ripristino da un backup).

Il problema deve essere evitato a priori, come spesso avviene con malware di questo tipo. Codici malevoli simili ad EvilQuest sono stati trovati anche in altri software pirata diffusi online, e gli utenti Mac possono evitarli mantenendosi a distanza da fonti inaffidabili e non ufficiali, installando le applicazioni sul proprio sistema attraverso il Mac App Store o i siti web ufficiali degli sviluppatori.

I migliori sconti su Amazon oggi
-18%

Apple iPhone 16 128 GB: Telefono 5G con Controllo fotocamera, chip A18 e tanta autonomia in più. Compatibile con AirPods; bianco

979.00 799.00 Compra ora
-42%

Cecotec Friggitrice ad Aria Senza Olio Cecofry Fantastik 5500 da 5,5 L. 1500W, Tecnologia PerfectCook, 9 modalità di cottura, Touch, Regolabile 80-200°C, Cottura fino a 60 minuti

76.90 44.90 Compra ora
-21%

CMF Phone 1 8+128GB - Smartphone con fotocamera posteriore Sony da 50 MP con Ultra XDR, Display Super AMOLED da 6,67 pollici e Nothing OS 2.6, Nero, Non supporta eSIM

239.00 189.00 Compra ora
10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
starlights7401 Luglio 2020, 14:45 #1
siamo sempre li, uno non vuole pagare per avere un sw originale e poi dovrà pagare per sbloccare il computer.
Poi parliamo di Little snitch che e0 un sw utilissimo e vale tutti soldi che costa.
Saturn01 Luglio 2020, 15:19 #2
...lo ripeto...esigete sempre e solo videocassette originali Walt Disney Home Video...!

Scherzi a parte...è il primo caso di ransomware su Mac o ci sono stati precedenti, così per curiosità ?
demon7701 Luglio 2020, 15:23 #3
Impossibile.
Non esistono virus per MAC.

Siete solo invidiosi che unsano winzoz. ROSIKATE.
Saturn01 Luglio 2020, 15:24 #4
Originariamente inviato da: demon77
Impossibile.
Non esistono virus per MAC.

Siete solo invidiosi che unsano winzoz. ROSIKATE.


COMUNISTA !!!! -cit.

(...è per intellettuali...)

Originariamente inviato da: emiliano84
mi pare ce ne siano stati gia' piu' di uno:
https://www.digitaltrends.com/compu...ng-for-you-too/


Immaginavo...ma ero troppo pigro per cercare da solo le informazioni...grazie !
StIwY01 Luglio 2020, 16:55 #5
"I mecc non hanno vairus.." Utonto medio che si fa rapinare negli eppol stor.
recoil01 Luglio 2020, 17:25 #6
Originariamente inviato da: starlights74
siamo sempre li, uno non vuole pagare per avere un sw originale e poi dovrà pagare per sbloccare il computer.
Poi parliamo di Little snitch che e0 un sw utilissimo e vale tutti soldi che costa.


preferisco la situazione attuale a un sistema blindato dove installi solo da app store
in casi come questi scarichi sw di dubbia provenienza e ti becchi il malware, però lo hai fatto consapevolmente
magari c'è l'utente che non ne è al corrente e pensa di essere al sicuro, ma se passa fuori dallo store il rischio ci sarà sempre...
MrPhil1701 Luglio 2020, 18:20 #7
Cito:"attraverso l'installazione di software pirata manomessi ad-hoc."

La giusta ricompensa per chi pirata.
pabloski01 Luglio 2020, 18:29 #8
Originariamente inviato da: MrPhil17
La giusta ricompensa per chi pirata.


se non ci fosse Franceschini con la sua copia privata
biffuz02 Luglio 2020, 11:12 #9
Ammazza che virus, devi scaricarti un software pirata e dargli la password di root.
Ricordate la barzelletta sul virus albanese?
pabloski02 Luglio 2020, 11:40 #10
Originariamente inviato da: biffuz
Ammazza che virus, devi scaricarti un software pirata e dargli la password di root.
Ricordate la barzelletta sul virus albanese?


Ormai il 90% e più del malware fa ampio uso di social engineering. E hanno successo, dato che si presentano come software che fa altro e l'utente si fida e l'accesso amministrativo glielo dà.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^