Nuevo ransomware para usuarios de MacOS

Investigadores de seguridad descubrieron un nuevo malware orientado a usuarios de MacOS.

Este malware se llama EvilQuest y es un ransomware diferente a los anteriores ya conocidos que solo se basaban en encriptar los archivos de las víctimas. EvilQuest también instala un keylogger, una shell reversa y roba los archivos de las billeteras de criptomonedas en estos hosts infectados.

Los investigadores dijeron que el atacante tiene capacidad de controlar la computadora de la víctima aún en si estas pagaron el rescate.

Actualmente, Reed y Stokes están buscando una debilidad o error en el esquema de cifrado del ransomware que podría ser explotado para crear un descifrador y ayudar a las víctimas infectadas a recuperar sus archivos sin tener que pagar el rescate.

EvilQuest es distribuido a través de software pirateado

Dinesh Devadoss tuiteó sobre su hallazgo ayer, 29 de junio. Sin embargo, nuevas pruebas surgidas mientras tanto han revelado que EvilQuest se ha distribuido, en realidad, en la naturaleza desde el comienzo de junio 2020.

Thomas Reed informó que Malwarebytes encontró este ransomware en software subidos en portales de torrents y foros online.

Devadoos ha visto EvilQuest escondido en un paquete de software llamado Google Software Update, Wardle ha encontrado muestras de EvilQuest dentro de una versión pirateada del popular software de DJ Mixed In Key, y Reed lo ha visto escondido dentro de la herramienta de seguridad macOS llamada Little Snitch.

Se menciona que el ransomware cifra cualquier archivo que contenga las siguientes extensiones:

.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat

Después de que finaliza el proceso de cifrado, el ransomware instala un keylogger para registrar todas las pulsaciones de teclas del usuario, un shell inverso para que el atacante pueda conectarse al host infectado y ejecutar comandos personalizados, y también buscará robar los siguientes tipos de archivos, generalmente empleados por las aplicaciones de billetera de criptomonedas tales como:

wallet.pdf, wallet.png, key.png, *.p12

Fuente: Malwarebytes, ZDNET

Comments are closed.