Cover Image

Il nuovo ransomware EvilQuest ha come target gli utenti macOS

1 Luglio 2020 - Tempo di lettura: 15 minuti

EvilQuest ransomware crittografa i sistemi macOS ma installa anche un keylogger e una shell inversa per il pieno controllo sugli host infetti.

I ricercatori di sicurezza hanno scoperto questa settimana una nuova varietà di ransomware destinata agli utenti macOS.

Chiamato OSX.EvilQuest, questo ransomware è diverso dalle precedenti minacce di macOS ransomware perché oltre a crittografare i file della vittima, EvilQuest installa anche un keylogger, una shell inversa e ruba i file relativi al portafoglio di criptovaluta dagli host infetti.

"Grazie a queste capacità, l'attaccante può mantenere il pieno controllo su un host infetto", ha affermato Patrick Wardle, ricercatore principale della sicurezza presso Jamf. Ciò significa che anche se le vittime pagassero, l'attaccante avrebbe comunque accesso al proprio computer e continuerebbe a rubare file e log di tastiera.

Wardle è attualmente uno dei molti ricercatori di sicurezza macOS che stanno analizzando questa nuova minaccia.

Altri che stanno indagando su EvilQuest includono Thomas Reed, direttore di Mac & Mobile presso Malwarebytes e Phil Stokes, ricercatore di sicurezza macOS presso SentinelOne.

Reed e Stokes stanno attualmente cercando una debolezza o un bug nello schema di crittografia del ransomware che potrebbe essere sfruttato per creare un decryptor e aiutare le vittime infette a recuperare i propri file senza pagare il riscatto.

EVILQUEST È DISTRIBUITO TRAMITE SOFTWARE PIRATATO

Ma il ricercatore che per primo ha scoperto il nuovo ransomware EvilQuest è il ricercatore di sicurezza K7 Lab Dinesh Devadoss.

Devadoss ha twittato la sua scoperta ieri, 29 giugno. Tuttavia, nuove prove emerse nel frattempo hanno rivelato che EvilQuest è stato, in realtà, distribuito in natura dall'inizio del giugno 2020.

Oggi Reed ha dichiarato a ZDNet in una telefonata che Malwarebytes ha trovato EvilQuest nascosto all'interno di un software macOS piratato caricato su portali torrent e forum online.

Devadoos ha individuato EvilQuest nascosto in un pacchetto software chiamato Google Software Update, Wardle ha trovato campioni di EvilQuest all'interno di una versione piratata del famoso software DJ Mixed In Key e Reed l'ha individuato nascosto nello strumento di sicurezza macOS chiamato Little Snitch.

Tuttavia, Reed ci ha detto che ritiene che il ransomware sia molto probabilmente distribuito in modo più ampio, sfruttando molte più altre app e non solo queste tre.

Wardle, che ha pubblicato un'analisi tecnica approfondita di EvilQuest oggi, ha affermato che il malware è piuttosto semplice, poiché si muove per crittografare i file dell'utente non appena viene eseguito.

Una volta terminato lo schema di crittografia dei file, viene mostrato all'utente un popup che informa la vittima che sono stati infettati e che i loro file sono crittografati.

La vittima è indotta ad aprire una nota di riscatto sotto forma di un file di testo che è stato inserito sul desktop, che assomiglia a quello seguente:

Stokes ha detto a ZDNet che il ransomware crittograferà qualsiasi file con le seguenti estensioni:

.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p , .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat

Al termine del processo di crittografia, il ransomware installa un keylogger per registrare tutte le sequenze di tasti dell'utente, una shell inversa in modo che l'attaccante possa connettersi all'host infetto ed eseguire comandi personalizzati e cercherà anche di rubare i seguenti tipi di file, generalmente utilizzati da applicazioni del portafoglio di criptovaluta.

  • "Wallet.pdf"
  • "Wallet.png"
  • "Key.png"
  • ".P12 *"

Nella sua analisi di EvilQuest, Reed ha anche notato che il ransomware tenta anche di modificare i file specifici del meccanismo di aggiornamento di Google Chrome e di utilizzarli come forma di persistenza sugli host infetti.

"A questi file [aggiornamento Chrome] è stato anteposto il contenuto del file patch , il che ovviamente significherebbe che il codice dannoso verrà eseguito quando viene eseguito uno di questi file", ha affermato Reed. "Tuttavia, Chrome vedrà che i file sono stati modificati e sostituirà i file modificati con copie pulite non appena viene eseguito, quindi non è chiaro quale sia lo scopo qui."

Wardle, che ha creato diversi strumenti di sicurezza macOS open source, ha affermato che uno strumento che ha rilasciato nel 2016, chiamato RansomWhere, può rilevare e interrompere l'esecuzione di EvilQuest. Reed ha anche affermato che Malwarebytes per Mac è stato anche aggiornato per rilevare e arrestare questo ransomware prima che danneggi.

EvilQuest è la terza varietà di ransomware che ha preso di mira esclusivamente gli utenti macOS dopo KeRanger e PatcherUn'altra varietà di macOS ransomware chiamata Mabouia esisteva solo a livello teorico e non è mai stata rilasciata nel mondo reale.

intopic.it