El ransomware que se propaga en la Mac a través de software pirateado podría estar espiándote antes de exigirle que pague.
El domingo 28 de junio, el investigador de malware de K7 Lab, Dinesh Devadoss, escribió en Twitter sobre un nuevo programa de malware que aún no está siendo detectado por ningún motor antivirus. Inicialmente, el Malware se llamó EvilQuest, pero desde entonces se renombró como ThiefQuest para evitar confusiones con el juego EvilQuest.
Thomas Reed, de , descubrió que el código malicioso se había extendido en programas pirateados de Mac en un foro de torrent ruso Rutracker. En particular, se ha encontrado en una copia infectada de Little Snitch, un programa que, irónicamente, generalmente se usa para proteger a los usuarios de actividades maliciosas. Evilquest también se ha encontrado en el software de DJ Mixed In Key 8 y en una Actualización de software de Google.
El programa se instala en varios lugares del sistema e intenta esconderse detrás de nombres como «com.apple.questd» y «CrashReporter». Si lo instala en su computadora, comenzará a cifrar los archivos. Algún tiempo después, verá un mensaje de chantaje pidiendo $ 50 bitcoin para descifrar sus archivos.
Según una investigación realizada por Reed, el software instala una versión legítima de Little Snitch y al mismo tiempo carga un «parche» de archivo ejecutable que instala el malware real. Después de la instalación, habrá un retraso de tres días para que el usuario no asocie ningún problema con el programa recién instalado. Luego, después de tres días, el malware comenzó a cifrar archivos y luego exigirá un rescate. Reed también encontró rastros de un keylogger que registra todas las pulsaciones de teclas.
Sin embargo, parece que el malware en realidad no funciona tan bien. El investigador de seguridad informó que se produjeron problemas durante la instalación. También sugirió que los autores del malware no están muy familiarizados con la estructura de archivos de Mac, porque los datos de llavero y los datos de configuración también se cifraron, lo que conduce a mensajes de error prominentes. Los usuarios del foro informaron que recibieron la nota de rescate, pero Reed realmente no pudo ejecutar su variante del malware.
Es posible que la razón por la cual Reed no haya podido ejecutar el malware fue porque no se ejecutará si detecta que se está ejecutando en un entorno de prueba de seguridad, como estar instalado en una máquina virtual. Tampoco se ejecutará si detecta que hay herramientas de seguridad o programas antivirus ejecutándose en la computadora. Sin embargo, también parece que el código está diseñado para ocultar ciertas características mientras hace que otras sean visibles.
Hay algunas teorías sobre por qué este es el caso. Una teoría, presentada por , es que el elemento ransomware de este malware es en realidad un señuelo para su verdadero propósito. «Creemos que el ransomware es simplemente un señuelo para el verdadero propósito de este malware», según los expertos en seguridad de Bleeping Computer.
Se cree que el malware comienza robando archivos de su computadora antes de establecer el cifrado de su sistema. La demanda de ransomware parece ser más una ocurrencia tardía. De hecho, la demanda de que el usuario pague $ 50 en bitcoins significa que no habría forma de demostrar que había pagado ya que bitcoin es anónimo. Tampoco hay una dirección de correo electrónico para comunicarse con los chantajistas.
Aparentemente, algunos scripts de Python ocultos en el malware buscan archivos como Word, Pages, certificados SSL y luego los copian en un servidor remoto. La lista de extensiones de datos buscadas incluye archivos de texto, imágenes, documentos de Word, certificados SSL, certificados de firma de código, código fuente, proyectos, copias de seguridad, hojas de cálculo, presentaciones, bases de datos y billeteras de criptomonedas, que incluyen:
.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p , .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat
Qué hacer
Obviamente, la mejor manera de protegerse de este y otros programas maliciosos es descargar solo software de una fuente legítima. Lo ideal es descargarlo solo de la Mac App Store. De lo contrario, verifique que el sitio sea el del desarrollador. Afortunadamente, Apple tiene una serie de medidas integradas para dificultar la instalación de software que no es de un desarrollador reconocido, pero es posible evitarlas (y se sabe que el malware sigue a la gente pensando en los pasos necesarios para hacerlo).
Bleeping Computer sugiere que podría instalar la utilidad gratuita RansomWhere de Wardle , que detecta ThiefQuest.
Hay una guía sobre qué hacer si experimenta un ataque de ransomware aquí.