El nuevo ransomware «EvilQuest» circula por las aplicaciones piratas de macOS

ransomware

Todos hemos estado tentados alguna vez en instalarnos una copia pirata de un software para evitar pagar por ella. Pero hay que pensárselo dos veces, y eludir la tentación cuando aparezca. Primero por la conciencia de cada uno. Detrás de cada aplicación hay cientos o miles de horas de desarrollo y programación, y es muy injusto no pagar por ello. O bien directamente, o bien por publicidad insertada en la app.

Y la segunda por seguridad. Es el método más sencillo y antiguo para camuflar y propagar un virus. Incrustado dentro del instalador de la aplicación, tu no te enteras, das todos los permisos necesarios pensando que te los pide el software que estás instalando, y a partir de ahí apañado vas. Un nuevo ransomware corre por los instaladores de software pirateado. Al loro.

Los usuarios de Mac ahora están expuestos a un nuevo ransomware denominado «EvilQuest» que cifra algunos archivos de usuario y causa múltiples problemas al sistema operativo. Malwarebytes ha encontrado dicho ransomware, que se distribuye a través de aplicaciones piratas para macOS.

El código malicioso se encontró por primera vez en una copia pirata de la aplicación Little Snitch disponible en un foro ruso con enlaces torrent. La aplicación descargada viene con un archivo de instalación PKG, a diferencia de su versión original.

Al examinar este archivo PKG, Malwarebytes descubrió que la aplicación viene con un «script postinstall», que se utiliza normalmente para limpiar la instalación después de que se complete el proceso. En este caso, sin embargo, el script implementa un malware en macOS.

El archivo de script se copia en una carpeta relacionada con la aplicación Little Snitch con el nombre CrashReporter, por lo que el usuario no notará que se ejecuta en el Monitor de Actividad, ya que macOS tiene una aplicación interna con un nombre similar. La ubicación establecida es: /Library/LittleSnitchd/CrashReporter.

Malwarebytes señala que pasará algún tiempo antes de que el ransomware comience a actuar después de que se instala, por lo que el usuario no lo asociará con la última aplicación instalada. Una vez que el código malicioso se activa, modifica el sistema y los archivos de usuario con un cifrado desconocido.

El ransomware te pide 50 dólares por desbloquear tu Mac

Evil

«EvilQuest» te pide 50 dólares para desencriptar tus archivos.

Parte del cifrado hace que el Finder no funcione correctamente y el sistema se bloquea constantemente. Incluso el llavero del sistema se corrompe, por lo que es imposible acceder a las contraseñas y certificados guardados en el Mac. Un mensaje en la pantalla dice que el usuario debe pagar 50 dólares para recuperar sus archivos, de lo contrario todo se eliminará después de tres días. La verdad es que acojona.

Todavía no hay manera de deshacerse de malware después de que ha cifrado los archivos sin formatear todo el disco, por lo que los usuarios deben mantener una copia de seguridad actualizada de todo.

La mejor manera de evitar las consecuencias de ransomware es mantener un buen conjunto de copias de seguridad. Guarda al menos dos copias de seguridad de todos los datos importantes, y al menos una no debe mantenerse conectada a tu Mac en todo momento. (Ransomware puede tratar de cifrar o dañar las copias de seguridad en las unidades conectadas.)

Aunque el ransomware sólo se incluye con aplicaciones pirateadas por ahora, Apple debe corregir este fallo de seguridad tan pronto como sea posible ya que este código malicioso se puede incluir en más aplicaciones «legales» distribuidas fuera de la App Store.


Sé el primero en comentar

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.