海賊版Macアプリで新たなMacランサムウェアが発見される

海賊版Macアプリで新たなMacランサムウェアが発見される

海賊版アプリを通じてMacを攻撃する新たなMacランサムウェアの亜種が確認されました。Malwarebytesの最新レポートによると、ロシアのフォーラムで発見されたLittle Snitchアプリの海賊版に、新たなMacランサムウェアの亜種「EvilQuest」が見つかったとのことです。

Little Snitch の違法バージョンは、汎用インストーラー パッケージを使用します。このインストーラー パッケージは、アプリの正規バージョンをインストールするだけでなく、「Patch」という名前の実行可能ファイルを /Users/Shared ディレクトリにインストールし、マシンに感染するためのインストール後スクリプトもインストールします。

パッチファイルはインストールスクリプトによって新しい場所に移動され、「CrashReporter」という正規のmacOSプロセスに名前が変更されます。これにより、アクティビティモニタに表示されなくなります。その後、パッチファイルはMac上の複数の場所にインストールされます。

このランサムウェアは、Mac上の設定ファイルやキーチェーンファイルなどのデータファイルを暗号化し、iCloudキーチェーンへのアクセス時にエラーを引き起こします。Malwarebytesによるテストでは、Finderにも不具合が発生し、Dockやその他のアプリにも問題が発生しました。

Malwarebytesによると、このランサムウェアは効果が薄く、身代金の支払い手順も見つからなかったとのことですが、この悪意のあるソフトウェアが発信されたフォーラムで見つかったスクリーンショットからは、ファイルへのアクセスを回復するためにユーザーに50ドルの支払いを促す意図が示唆されています。ただし、Macが感染している場合は身代金を支払わないでください。支払ってもマルウェアは削除されません。

このマルウェアはキーロガーをインストールしてキー入力を監視する可能性もありますが、その情報をどのように利用するのかは不明です。Malwarebytesは、Mac用のソフトウェアでRansom.OSX.EvilQuestとして検出されたこのランサムウェアを削除できると発表しています。ただし、暗号化されたファイルはバックアップからの復元が必要になります。バックアップは取ってありますよね?でも、そもそも海賊版アプリをダウンロードしたりしないですよね?

(MacRumors経由)