Новая часть Mac Ransomware, распространяемая с помощью пиратского программного обеспечения под названием «EvilQuest», активно нацелена на пользователей MacOS в дикой природе.
Хотя вымогатели, специально предназначенные для пользователей Mac, встречаются особенно редко, новые экземпляры вредоносных программ, которые шифруют пользовательские файлы и требуют выкуп для их разблокировки, время от времени появляются.
Во вторник несколько исследователей безопасности опубликовали анализ и отчеты о недавно обнаруженном вымогателе OSX.EvilQuest. По сообщениям ZDNet, EvilQuest, впервые обнаруженный независимым исследователем вредоносных программ Динешем Девадоссом, циркулирует в дикой природе с начала июня 2020 года.
EvilQuest имеет несколько гнусных дополнений, которые делают его уникальным среди примеров вымогателей. В дополнение к злонамеренному шифрованию файлов пользователя и взиманию платы за их разблокировку, EvilQuest также устанавливает в систему кейлоггер и обратную оболочку, а также код, похищающий файлы кошелька криптовалюты.
EvilQuest выкуп записку. Кредит: Патрик Уордл
По словам бывшего хакера NSA и исследователя безопасности macam Jamf Патрика Уордла, эти возможности могут позволить злоумышленникам «полностью контролировать зараженный хост».
Как и в предыдущих версиях Mac Ransomware, похоже, что EvilQuest распространяется через пиратское программное обеспечение. Исследователи обнаружили его в пакете под названием «Обновление программ Google», в то время как другие видели его скрытым в пиратских версиях приложения DJ Mixed In Key и инструмента безопасности Little Snitch.
По словам руководителя Malwarebytes Mac & Mobile Томаса Рида, вымогатель также пытается изменить файлы в механизме обновления Google Chrome, чтобы сохранить его на зараженной машине.
Это третий экземпляр программы вымогательства, специально предназначенной для пользователей MacOS, после открытия Patcher в 2017 году и KeRanger в 2016 году.
Как избежать или смягчить вымогателей EvilQuest
На данный момент, похоже, что EvilQuest распространяется исключительно через торрент-сайты и пиратское программное обеспечение. Поэтому, если вы будете придерживаться Mac App Store или сторонних разработчиков, которым доверяете, вы сможете избежать его получения.
Есть также два приложения, которые могут снизить риски EvilQuest для пользователей.
Wardle — бесплатный выкуп с открытым исходным кодом. Где? Приложение может в общем обнаруживать и останавливать вымогателей на macOS. Последняя версия Malwarebytes также может обнаруживать и смягчать EvilQuest, прежде чем он нанесет какой-либо ущерб.