Un ransomware sta circolando su macOS: come funziona e come proteggersi

Un ransomware sta circolando su macOS: come funziona e come proteggersi

EvilQuest sta minacciando i sistemi macOS. Si tratta di un ransomware che può essere installato dall'utente attraverso altri software contraffatti ad-hoc

di pubblicata il , alle 14:41 nel canale Apple
ApplemacOSiMacMac ProMacBook
 

Sta circolando una nuova variante di ransomware su macOS. Si chiama EvilQuest e si può insediare in ogni sistema attraverso l'installazione di software pirata manomessi ad-hoc. A rivelare la novità è stata la società di sicurezza Malwarebytes, che ha scritto di aver trovato il codice malevolo per la prima volta all'interno di una versione contraffatta di Little Snitch proposta da un forum russo.

Un occhio esperto può capire rapidamente che c'è qualcosa di insolito nella versione illecita del software, visto che viene installata attraverso un installer generico. Insieme all'applicazione questo inserisce nel sistema un file eseguibile chiamato "Patch" nella cartella "/Users/Shared" insieme a uno script post-install sviluppato per infettare il sistema. Nello specifico lo script sposta il file Patch in una nuova posizione e lo rinomina CrashReporter, un processo macOS legittimo, mantenendolo nascosto in Activity Monitor. Da lì, il file Patch si installa in diversi punti sul Mac.

Cos'è un ransomware

Un ransomware è un software che blocca attraverso protezione crittografica le impostazioni e i file su un sistema usando una chiave di cifratura che è nota solo all'aggressore che pianifica l'attacco, e non all'utente che utilizza il sistema. Quando si tenta di accedere ai file "protetti" si riceve un avviso e serve la chiave di cifratura per sbloccarli, chiave che di norma viene ceduta dall'aggressore solo in seguito a un pagamento. Da qui il nome "ransomware", da ransom che significa riscatto.

Il funzionamento di EvilQuest è analogo: blocca i file e le impostazioni sul Mac infetto, così come anche il Portachiavi causando un errore anche quando si tenta di accedere al Portachiavi iCloud. Anche il Finder non funziona correttamente dopo l'installazione e si presentano problemi con il dock e altre app installate sul sistema. Malwarebytes ha notato che, nel caso specifico del test eseguito, il ransomware ha avuto problemi nel proporre le istruzioni per il riscatto.

Indagando sul forum russo in cui è stato diffuso il software, però, ha scoperto che l'obiettivo del ransomware è quello di obbligare gli utenti a pagare 50$ per riottenere l'accesso ai propri file. Non è questa però la soluzione al problema, come spesso avviene con questo tipo di malware.

Come proteggersi

Chiunque abbia un sistema infetto da qualsiasi ransomware non dovrebbe pagare la commissione, perché non è detto che la procedura sia in grado di rimuovere del tutto il malware. In questo caso, inoltre, il ransomware può essere installato sul sistema insieme a un software keylogger capace di raccogliere tutte le sequenze di tasti. Malwarebytes suggerisce il proprio software per sistemi Mac per rimuovere il ransomware, che viene rilevato come Ransom.OSX.EvilQuest, ma la procedura non consente di recuperare i file crittografati (serve il ripristino da un backup).

Il problema deve essere evitato a priori, come spesso avviene con malware di questo tipo. Codici malevoli simili ad EvilQuest sono stati trovati anche in altri software pirata diffusi online, e gli utenti Mac possono evitarli mantenendosi a distanza da fonti inaffidabili e non ufficiali, installando le applicazioni sul proprio sistema attraverso il Mac App Store o i siti web ufficiali degli sviluppatori.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

13 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
starlights7401 Luglio 2020, 14:45 #1
siamo sempre li, uno non vuole pagare per avere un sw originale e poi dovrà pagare per sbloccare il computer.
Poi parliamo di Little snitch che e0 un sw utilissimo e vale tutti soldi che costa.
Saturn01 Luglio 2020, 15:19 #2
...lo ripeto...esigete sempre e solo videocassette originali Walt Disney Home Video...!

Scherzi a parte...è il primo caso di ransomware su Mac o ci sono stati precedenti, così per curiosità ?
demon7701 Luglio 2020, 15:23 #3
Impossibile.
Non esistono virus per MAC.

Siete solo invidiosi che unsano winzoz. ROSIKATE.
emiliano8401 Luglio 2020, 15:23 #4
Originariamente inviato da: Saturn
...lo ripeto...esigete sempre e solo videocassette originali Walt Disney Home Video...!

Scherzi a parte...è il primo caso di ransomware su Mac o ci sono stati precedenti, così per curiosità ?


mi pare ce ne siano stati gia' piu' di uno:
https://www.digitaltrends.com/compu...ng-for-you-too/
Saturn01 Luglio 2020, 15:24 #5
Originariamente inviato da: demon77
Impossibile.
Non esistono virus per MAC.

Siete solo invidiosi che unsano winzoz. ROSIKATE.


COMUNISTA !!!! -cit.

(...è per intellettuali...)

Originariamente inviato da: emiliano84
mi pare ce ne siano stati gia' piu' di uno:
https://www.digitaltrends.com/compu...ng-for-you-too/


Immaginavo...ma ero troppo pigro per cercare da solo le informazioni...grazie !
StIwY01 Luglio 2020, 16:55 #6
"I mecc non hanno vairus.." Utonto medio che si fa rapinare negli eppol stor.
Svelgen01 Luglio 2020, 17:23 #7
Con le App che mi servono, tutte scaricate dallo store e con l'ottimo e sempre affidabile TimeMachine su dischi locali e NAS (che poi vengono scollegati dal MAC), mi sto già cacando sotto dalla paura...



Originariamente inviato da: Saturn
...lo ripeto...esigete sempre e solo videocassette originali Walt Disney Home Video...!

Scherzi a parte...è il primo caso di ransomware su Mac o ci sono stati precedenti, così per curiosità ?


Nessun sistema è immune. Neppure i NAS...

https://edge9.hwupgrade.it/news/sec...-nas_85825.html
recoil01 Luglio 2020, 17:25 #8
Originariamente inviato da: starlights74
siamo sempre li, uno non vuole pagare per avere un sw originale e poi dovrà pagare per sbloccare il computer.
Poi parliamo di Little snitch che e0 un sw utilissimo e vale tutti soldi che costa.


preferisco la situazione attuale a un sistema blindato dove installi solo da app store
in casi come questi scarichi sw di dubbia provenienza e ti becchi il malware, però lo hai fatto consapevolmente
magari c'è l'utente che non ne è al corrente e pensa di essere al sicuro, ma se passa fuori dallo store il rischio ci sarà sempre...
MrPhil1701 Luglio 2020, 18:20 #9
Cito:"attraverso l'installazione di software pirata manomessi ad-hoc."

La giusta ricompensa per chi pirata.
pabloski01 Luglio 2020, 18:29 #10
Originariamente inviato da: MrPhil17
La giusta ricompensa per chi pirata.


se non ci fosse Franceschini con la sua copia privata

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^