Mac エコシステム全体に新たなランサムウェアが配布されており、海賊版 Mac アプリを通じて拡散されています。
Malwarebytesが本日公開したレポートによると、この新たなランサムウェアは「EvilQuest」と呼ばれ、主な拡散経路は海賊版Macアプリです。今回のセキュリティ脅威は、ロシアのフォーラムで共有されていたMacアプリ「Little Snitch」の海賊版で最初に発見されました。
この海賊版アプリをインストールすると、インストーラーはアプリ自体の完全版を入手できましたが、インストールには「patch」という追加の実行ファイルも含まれていました。このファイルはUsers/Sharedディレクトリに保存されており、アプリがインストールされたマシンに感染するインストール後スクリプトが含まれていました。
このインストーラーを調べたところ、正規の Little Snitch インストーラーとアンインストーラー アプリ、および「patch」という名前の実行可能ファイルが
/Users/Shared/ディレクトリにインストールされることが判明しました。インストーラーには、インストールプロセス完了後に実行されるシェルスクリプトであるポストインストールスクリプトも含まれていました。この種のインストーラーには、準備とクリーンアップのためのプレインストールスクリプトやポストインストールスクリプトが含まれているのが一般的ですが、今回のケースでは、このスクリプトがマルウェアをロードし、その後、正規のLittle Snitchインストーラーを起動するために使用されていました。
このインストールスクリプトは、「patch」を別の新しい場所に移動し、「CrashReporter」という名前に変更します。これはmacOSの正規のプロセスであり、基本的にアクティビティモニタ内に隠されています。このプロセスが完了すると、Macのソフトウェア内の複数の場所に自身がインストールされます。
完了すると、ランサムウェアはデータファイルと設定を暗号化します。これは、Macの正規ソフトウェアであるキーチェーンの動作と似ています。iCloudキーチェーンにアクセスしようとすると、エラーメッセージが表示されます。これは、上の画像をご覧ください。さらに、ドックや他のアプリの動作に不具合が生じ始め、Finderも動作し始めました。
この新たなランサムウェアの背後にいる攻撃者は、身代金要求されたシステムへのアクセスに50ドルを要求しているようです。しかし、Malwarebytesによると、このランサムウェアの機能は比較的弱いとのことです。ただし、キーロガーも搭載されており、システム全体やアクセスしたウェブサイトで入力されたキー操作を記録できます。
Malwarebytes では、万が一ランサムウェアがシステムに侵入した場合に備えて、いくつかの提案を行っています (たとえば、海賊版 Mac アプリをインストールしないことでこれを回避できます)。
このマルウェアに感染してしまったら、できるだけ早く駆除する必要があります。Malwarebytes for Macは、このマルウェアをRansom.OSX.EvilQuestとして検出し、削除します。
ファイルが暗号化された場合、それがどれほど深刻な状況になるかは分かりません。暗号化の種類と鍵の取り扱い方によって異なります。さらなる研究によってファイルの復号方法が見つかる可能性もありますが、見つからない可能性もあります。
ランサムウェアの被害を回避する最善の方法は、適切なバックアップを常に確保しておくことです。重要なデータはすべて少なくとも2つのバックアップコピーを保管し、少なくとも1つはMacに常時接続しないでください。(ランサムウェアは、接続されたドライブ上のバックアップを暗号化したり、破損させたりする恐れがあります。)
現時点では広範囲に及ぶ問題ではないようですが、このような状況が発見された際には、常に認識しておくことが重要です。この最新のランサムウェア攻撃の真髄を知りたい方は、Malwarebytesのブログ記事全文をご覧ください。
