I ricercatori di sicurezza hanno scoperto il mese scorso una nuova famiglia di ransomware destinata agli utenti macOS, OSX.ThiefQuest (o EvilQuest). Questo ransomware è diverso dalle precedenti minacce destinate agli utenti Apple: oltre a crittografare i file della vittima, ThiefQuest installa anche un keylogger e una shell inversa, rubando i file relativi ai wallet criptovaluta dei bersagli.

«Grazie a queste caratteristiche, l’aggressore può mantenere il pieno controllo sul mac infetto», ha dichiarato Patrick Wardle, ricercatore di sicurezza informatica di Jamf. Ciò significa che, anche se le vittime pagassero per decrittare i propri file, l’hacker manterrebbe comunque l’accesso al mac e continuerebbe a rubare file e lettere digitate grazie al keylogger. Wardle è attualmente uno dei molti ricercatori di sicurezza relativa ai sistemi macOS che stanno studiando questa nuova minaccia; tra gli altri anche gli esperti di MalwareBytes e SentinelOne. Gli esperti sono attualmente alla ricerca di un punto debole o bug nello schema di crittografia del ransomware che potrebbe essere sfruttato per creare un decryptor e aiutare le vittime infette a recuperare i propri file senza pagare il riscatto.

A scoprire per prima la minaccia è stata K7 Lab a fine giugno, ma secondo gli esperti EvilQuest sarebbe in circolazione addirittura da inizio mese. Secondo quanto riportato da ZDNet, MalwareBytes avrebbe trovato ThiefQuest nascosto all'interno di software macOS piratati caricato su portali torrent e forum quali Ableton, DJ Mixed In Key e Little Snitch. Il sospetto, secondo MalwareBytes, è che EvilQuest sia nascosto in molti più programmi craccati.

In base alla sua analisi tecnica approfondita di ThiefQuest, Wardle ha affermato che il funzionamento del malware è piuttosto semplice: si muove per crittografare i file dell’utente appena viene eseguito. Una volta terminato lo schema di crittografia dei file, viene mostrato alla vittima un popup che informa l’utente che il suo mac è stato infettato e i suoi file crittografati. La comunicazione è contenuta in una nota di riscatto sotto forma di un file di testo, posizionato sul desktop.

Secondo ZDNet, il ransomware colpisce e crittografa qualsiasi file con le seguenti estensioni:

.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p , .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat

Al termine del processo di crittografia, il ransomware installa anche un keylogger per registrare tutte le sequenze di tasti dell’utente, oltre a una shell inversa in modo che l’aggressore possa connettersi al mac infetto ed eseguire comandi personalizzati; l’hacker cercherà anche di rubare i seguenti tipi di file, generalmente utilizzati da applicazioni del portafoglio di criptovaluta:

"Wallet.pdf"

"Wallet.png"

"Key.png"

".P12 *"

Tweet