ThiefQuest un nuovo ransomware attacca i Mac

Ricercatori della sicurezza hanno scoperto una nuova varietà di ransomware destinata agli utenti macOS.

Chiamato ThiefQuest (o EvilQuest), questo ransomware è diverso dalle precedenti minacce dello stesso tipo perché oltre a crittografare i file della vittima, ThiefQuest installa anche un keylogger, una shell e ruba i file relativi ai wallet delle criptovalute come Bitcoin.

“Grazie a queste capacità, gli hacker possono mantenere il pieno controllo sui Mac infetti”, ha spiegato Patrick Wardle, ricercatore di sicurezza presso Jamf. Ciò significa che anche se le vittime pagassero, l’attaccante avrebbe comunque accesso al computer e continuerebbe a rubare file e password.

I ricercatori sono attualmente alla ricerca di un punto debole o bug nello schema di crittografia del ransomware che potrebbe essere sfruttato per creare un decryptor e aiutare le vittime infette a recuperare i propri file senza pagare il riscatto.

Il virus è distribuito tramite software piratato

Secondo le ricerche ThiefQuest è stato per la prima volta distribuito in rete all’inizio del giugno 2020, la Malwarebytes ha trovato ThiefQuest nascosto all’interno di software macOS piratato caricato su portali torrent (qui la nostra guida per usarlo in sicurezza) e forum online, come una versione piratata dell’app di produzione musicale Ableton, il software di mixaggio DJ Mixed In Key e lo strumento di sicurezza Little Snitch, ma probabilmente le App coinvolte sono molte di più.

Il malware è piuttosto semplice, perchè crittografa i file dell’utente non appena viene eseguito, e quando ha terminato lo schema di crittografia dei file, viene mostrato all’utente un popup che informa la vittima che sono stati infettati e i loro file crittografati.

La vittima è costretta ad aprire una nota di riscatto sotto forma di un file di testo che è stato posizionato sul desktop, di cui vedete un esempio sopra.
Il ransomware crittograferà qualsiasi file con le seguenti estensioni:

.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .hpp, .cpp, .cs, .pl, .p , .p3, .html, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat

Al termine del processo di crittografia, il ransomware installa un keylogger per registrare tutte le sequenze di tasti dell’utente, una shell inversa in modo che l’attaccante possa connettersi all’host infetto ed eseguire comandi personalizzati e cercherà anche di rubare i seguenti tipi di file, generalmente utilizzati da applicazioni del portafoglio di criptovaluta.

“Wallet.pdf”
“Wallet.png”
“Key.png”
“.P12 *”
Si è anche notato che il ransomware tenta anche di modificare i file specifici di aggiornamento di Google Chrome.

Inoltre, i ricercatori hanno anche notato che ThiefQuest non include un metodo attraverso il quale le vittime potrebbero contattare gli autori di ransomware o un metodo attraverso il quale gli autori di malware potrebbero tracciare i pagamenti. Ciò significa che qualsiasi vittima che paga non riceverà probabilmente una chiave di decrittazione per recuperare i propri file, in quanto il gruppo ThiefQuest non ha modo di capire chi ha pagato e chi no.

Tutte le vittime infettate da questo punto dovrebbero considerare i loro dati persi per sempre, a meno che i ricercatori non trovino un modo per violare la crittografia e recuperare i propri file.

Il miglior Antivirus per Mac

Malwarebytes per Mac è stato aggiornato per rilevare e arrestare questo ransomware prima che danneggi i Mac degli utenti.

ThiefQuest è la terza varietà di ransomware che ha preso di mira esclusivamente gli utenti macOS dopo KeRanger e Patcher.

Prova Mackeeper l’antivirus pensato per il Mac, scarica la versione di prova o acquistalo sul sito del produttore.

Download MacKeeper Download MacKeeper

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *