海賊版 Mac アプリで新たな Mac ランサムウェアが見つかる

Malwarebytes が本日共有した新しいレポートによると、Mac ランサムウェアの新しい「EvilQuest」亜種が海賊版 Mac アプリを通じて拡散しているとのことです。新しいランサムウェアは、ロシアのフォーラムで見つかった Little Snitch アプリの海賊版ダウンロードで発見されました。

違法バージョンの Little Snitch には一般的なインストーラー パッケージが含まれていたため、ダウンロードした時点から何か問題があることは明らかでした。これは、Little Snitch の実際のバージョンをインストールしましたが、「Patch」という名前の実行可能ファイルを /Users/Shared ディレクトリにインストールし、マシンに感染するためのインストール後のスクリプトもインストールしました。

インストール スクリプトは、パッチ ファイルを新しい場所に移動し、その名前を正当な macOS プロセスである CrashReporter に変更し、アクティビティ モニターで非表示にしたままにします。そこから、パッチ ファイルが Mac 上のいくつかの場所にインストールされます。

このランサムウェアは、キーチェーン ファイルなど、Mac 上の設定ファイルとデータ ファイルを暗号化するため、 iCloud キーチェーンにアクセスしようとするとエラーが発生します。インストール後に Finder も誤動作し、ドックや他のアプリにも問題が発生しました。

Malwarebytes は、ランサムウェアの動作が不十分であることを発見し、身代金の支払いに関する指示を得ることができませんでしたが、悪意のあるソフトウェアの発信元であるフォーラムで見つかったスクリーンショットから、ファイルへのアクセスを回復するためにユーザーに 50 ドルの支払いを促す意図があることが示唆されています。注: このランサムウェアまたはその他のランサムウェアに感染した人は、マルウェアは削除されないため、料金を支払うべきではありません。

このマルウェアは、身代金要求活動に加えて、キーストロークを監視するためのキーロガーもインストールする可能性がありますが、マルウェアがその機能で何を行うかは不明です。 Malwarebytes によると、同社の Mac 用ソフトウェアは、Ransom.OSX.EvilQuest として検出されたランサムウェアを削除できるという。ただし、暗号化されたファイルはバックアップから復元する必要があります。

同様のランサムウェアは他の海賊版アプリでも発見されており、Mac ユーザーは海賊版アプリや、違法ダウンロードを提供する信頼できない Web サイトやフォーラムに近づかないようにすることでランサムウェアを回避できます。