Nuevo ransomware dirigido a usuarios de Apple macOS se propaga a través de aplicaciones pirateadas

Se ha descubierto una nueva cepa ransomware dirigida a usuarios de macOS. EvilQuest va más allá de las capacidades de cifrado normales para ransomware común y corriente, incluida la capacidad de implementar un keylogger (para monitorear lo que se escribe en los dispositivos) y la capacidad de robar billeteras de criptomonedas en el sistemas de sus víctimas.

Con este desarrollo, EvilQuest se une a un puñado de cepas de ransomware que han seleccionado exclusivamente macOS, incluidos KeRanger y Patcher.

La fuente del malware parece ser versiones troyanizadas del popular software de macOS, como Little Snitch, un software de DJ llamado Mixed In Key 8 y Ableton Live, que se distribuyen en sitios populares de torrents.

Otra muestra fue analizada el martes por Thomas Reed, director de Mac y dispositivos móviles Malwarebytes, en una versión maliciosa de Little Snitch -firewall de aplicaciones legítimo basado en host para macOS-. El instalador malicioso se encontró disponible para descargar en un foro
ruso, dedicado a compartir enlaces de torrent.

Cuando la víctima descarga estas diversas aplicaciones maliciosas e instala el archivo ejecutable, llamado «parche», en el directorio «/ Users / Shared /». El ransomware comienza a cifrar los archivos de las víctimas invocando la función «eip_encrypt». Una vez que se completa el cifrado de archivos, crea un archivo de texto (READ_ME_NOW) con las instrucciones de rescate (el rescate de las muestras encontradas fue de $ 50).

Curiosamente, para garantizar que las víctimas vean la nota de rescate, el ransomware muestra un mensaje de texto a voz, que lee la nota de rescate en voz alta a la víctima a través de las capacidades de «voz» incorporadas de macOS.

Investigadores encontraron que el ransomware también tiene la capacidad de ejecutar código en memoria, anti-análisis y persistencia. Como parte de sus medidas anti-análisis, EvilQuest incluye las funciones «is_debugging» y «is_virtual_mchn».

Estas características intentan frustrar esfuerzos de depuración, así como detectar si se esto se está ejecutando dentro de una máquina virtual (ambas indicaciones de que un investigador de malware puede estar intentando analizarlo).