En los últimos días se ha descubierto un nuevo ransomware llamado EvilQuest que se oculta tras apps pirateadas. Este malware cifra los archivos del ordenador de forma que son inaccesibles a menos que se pague una cantidad, al menos en teoría.
Ransomware, el malware que pide rescates
Un ransomware es un programa malicioso que "secuestra" los archivos de un ordenador y pide un rescate (ransom) para que el usuario pueda recuperarlos. Previo al aviso del rescate el ransomware cifra todo el contenido que le es posible con una clave aleatoria que es necesaria para recuperar el acceso a los archivos.
EvilQuest es la última variante de ransomware capaz de afectar a los ordenadores Mac que Malwarebytes ha descubierto en internet. Un descubrimiento que se originó en un foro ruso donde se ofrecía una versión pirateada (gratuita) de la app Little Snitch.
La app pirateada se ofrece en un instalador genérico que, además de instalar Little Snitch, instala un pequeño ejecutable llamado Patch en la ruta /Users/Shared y un script de postinstalación que activa al malware. El script mueve el archivo Patch a una nueva ubicación y lo renombra como CrashReporter, un nombre común en los ordenadores Mac. Desde aquí Patch se autoinstala en varias ubicaciones dentro del ordenador.
Este ransomware es capaz de cifrar gran cantidad de archivos del ordenador, incluyendo archivos de configuración y archivos del llavero, por lo que el llavero de iCloud queda inaccesible y el Finder da constantes errores. Tras el ataque el ransomware solicita 50 dólares para descifrar los archivos, aunque, según Malwarebytes, no cumple con el descifrado aunque se abone la cantidad.
Por si fuera poco el malware también instala un keylogger, una pequeña aplicación que registra todas las pulsaciones de tecla de un ordenador. Un ataque que es capaz de acceder a contraseñas, datos bancarios y otra información, aunque, por ahora, se desconoce el uso de esos datos.
¿Está mi Mac a salvo?
Ante esta clase de ataques, ¿qué podemos hacer? Todo. La seguridad de nuestro ordenador depende del uso que le demos. Esta clase de aplicaciones maliciosas no pueden afectar a un ordenador sin consentimiento. En este caso el consentimiento pasa por descargar una app de una fuente que no es de confianza y, encima, introducir la contraseña del ordenador durante la instalación, con lo que el ransomware encuentra poca resistencia.
Las precauciones a tomar ante la situación son sencillas. La primera y más importante es que nunca instalemos ninguna app excepto de sitios de confianza como el App Store o de las web de empresas de confianza (Adobe, Microsoft, etc.). La segunda precaución es disponer de una copia de seguridad de los datos, donde es especialmente útil usar Time Machine.
La piratería de apps, es decir, poder utilizar gratuitamente apps que cuestan dinero es una práctica que cada vez más está cayendo en desuso, pero sigue siendo el principal foco de entrada de malware a los dispositivos.
Ver 4 comentarios