K7 Lab обнаружила новый вредонос-вымогатель для атак на ПК под управлением MacOS

K7 Lab сообщил о новом виде вредоносов, получившем название EvilQuest, предназначенном для атак на ПК под управлением MacOS.

EvilQuest обнаружен компанией K7 Lab и проанализирован группой исследователей из Malwarebytes, Jamf и BleepingComputer. EvilQuest шифрует файлы в скомпрометированой системе, но, маскируясь под обычного вымогателя, обладает также возможностями по сбору информации с зараженного хоста, включая кейлоггер и кражу данных криптовалютных кошельков.

Вредонос распространяется через торренты посредством инфицированных инсталляторов легального ПО, в частности музыкальных программ Mixed In Key и Ableton.

EvilQuest проверяет, не запущен ли он на виртуальной машине, а также наличие в атакуемой системе популярных антивирусных продуктов (Avast, Kaspersky, McAfee и др.). После шифрования файлов вредонос предлагает заплатить 50$ на статический биткойн кошелек, однако не оставляет никакого способа обратной связи, что делает невозможным привязку выплаты к конкретной жертве.

Фактически, после выплаты жертвой выкупа вредонос все равно останется в системе и будет собирать интересующие его данные, а файлы так и останутся зашифрованными.

Исследователи полагают, что функции ransomware являются всего лишь маскировкой для кражи данных с зараженной машины. EvilQuest ворует текстовые файлы, изображения, электронные таблицы, сертификаты, данные криптокошельков и пр. При этом файлы не должны превышать размера 800 KB.

Расшифровщика пока нет и не понятно будет ли он вообще.

K7 Lab приводит ссылку на бесплатную утилиту Wardle RansomWhere, которая помогает предотвратить попытки EvilQuest по шифрованию файлов. Также, полагаем, в самое короткое время вредонос будет выявляться всеми популярными антивирусными программами (MalwareBytes уверяют, что уже).

EvilQuest это третий выявленный штамм вымогателей для MacOS после KeRanger и Patcher.