I ricercatori di Malwerbytes lab e K7 Lab hanno scoperto su un forum russo un nuovo ransomware, denominato EvilQuest, liberamente scaricabile via torrent che, camuffato da versione aggiornata di software popolari di firewall, come Little Snitch, o di produzione musicale, infetta i computer degli ignari utenti estrapolando i dati, criptando quelli presenti sul dispositivo e poi chiedendo un riscatto in bitcoin.
Il file, apparentemente un semplice pacchetto di installazione Apple con un’icona generica, contiene sia la legittima app per l’installazione e la disinstallazione del programma che l’utente ha scelto, sia un file eseguibile denominato “Patch” il quale, oltre ad avere funzioni connesse all’avvio della legittima applicazione, carica e rinomina il malware sul dispositivo.
Una volta installato sull’host infetto, EvilQuest esegue dapprima un controllo sandbox per rilevare eventuali antivirus, così da verificare che non vi siano software debugger in esecuzione poi, programmato con un ritardo tra il momento in cui infetta il device e quello in cui comincia la criptatura dei dati, riesce a carpire a lungo informazioni prima di rivolgere al malcapitato utente una richiesta di riscatto.
Durante questa fase l’utente nota i primi segnali che qualcosa non va.
Il Finder inizia dar problemi: le “beachball” ossia le icone del caricamento, ruotano più spesso e più a lungo del solito quando si seleziona un file crittografato; altre app si bloccano periodicamente e l’unica possibilità che resta all’utente è di eseguire il comando option + command + escape per permettere un’uscita forzata dal Finder.
Nell’ultima fase, EvilQuest lancia una copia di se stesso e crittografa i file, compresi i wallet e l’app portachiavi, prima di mostrare all’utilizzatore del pc le istruzioni di riscatto per pagare $ 50 entro 72 ore, pena avere i file definitivamente bloccati.
Tra le funzionalità, o meglio le istruzioni malevoli che porta con sé, EvilQuest ha la possibilità di comunicare con un server di controllo per eseguire in remoto comandi, con una reverse shell, avviare keylogger, con cui può effettuare lo sniffing della tastiera, e persino eseguire direttamente un payload dannoso.
Sebbene ancora molti dubbi assalgono i tecnici che stanno studiando il codice maligno, sia per quel che concerne il tipo di crittografia che sull’effettivo rilascio della chiave una volta pagato il riscatto, l’unica cosa certe è che l’insieme di queste capacità del programma malevolo costituisce un mix letale per la sicurezza dell’host infettato, impedendo qualsiasi contromisura da parte dell’utente che si vede costretto a pagare la somma, seppur esigua, per riappropriarsi di quanto sottrattogli.
In ogni caso, e a maggior ragione, si raccomanda di effettuare frequentemente il backup dei propri dati, possibilmente su più dispositivi ed in via asincrona, in modo tale che se il pc viene infettato mentre è in corso l’upload dei dati su una delle memorie esterne, l’altra è salva ed una volta cancellato il disco rigido sul computer, si può ripristinare i file dal un backup pulito. Inoltre tali copie proteggono anche da incidenti del dispositivo, guasti dell’unità, furti e smarrimenti.
