Hay una nueva variante de ransomware Mac ‘EvilQuest’ que se está extendiendo a través de aplicaciones Mac pirateadas, según un nuevo informe compartido hoy por Malwarebytes. El nuevo ransomware se encontró en una descarga pirateada para la aplicación Little Snitch que se encuentra en un foro ruso.

Desde el punto de descarga, estaba claro que algo andaba mal con la versión ilícita de Little Snitch, ya que tenía un paquete de instalación genérico. Instaló la versión real de Little Snitch, pero también instaló un archivo ejecutable llamado « Patch » en el directorio / Users / Shared y un script posterior a la instalación para infectar una máquina.

El script de instalación mueve el archivo Patch a una nueva ubicación y lo renombra CrashReporter, un proceso legítimo de macOS, manteniéndolo oculto en el Monitor de actividad. A partir de ahí, el archivo Patch se instala en varios puntos de la Mac.

El ransomware cifra la configuración y los archivos de datos en la Mac, como los archivos Keychain, lo que genera un error al intentar acceder al llavero iCloud. El Finder también funcionó mal después de la instalación, y hubo problemas con el dock y otras aplicaciones.

Malwarebytes descubrió que el ransomware funcionaba mal y no pudo obtener instrucciones sobre cómo pagar el rescate, pero una captura de pantalla encontrada en los foros donde se originó el software malicioso sugiere que está destinado a pedir a los usuarios que paguen $ 50 para recuperar el acceso a sus archivos. Nota: cualquier persona infectada con este ransomware o cualquier ransomware no debe pagar la tarifa, ya que no elimina el malware.

Junto con la actividad de rescate, el malware también puede instalar un keylogger para monitorear las pulsaciones de teclas, pero se desconoce qué hace el malware con la funcionalidad. Malwarebytes dice que su software para Mac puede eliminar el ransomware, detectado como Ransom.OSX.EvilQuest. Sin embargo, los archivos cifrados requerirán una restauración desde una copia de seguridad.

Se encontró un ransomware similar en otras aplicaciones pirateadas, y los usuarios de Mac pueden evitarlo alejándose de las aplicaciones pirateadas y los sitios web y foros no confiables que ofrecen descargas ilícitas.