A Malwarebytes információi szerint az EvilQuest néven elhíresült zsarolóvírus egyik variánsa bukkant fel a Little Snitch alkalmazás tört verziós letöltésénél egy orosz fórumon.
Kezdjük egy kicsit a tárgyi ismeretekkel, mielőtt egy újabb történetet mesélnénk arról, miért ne használjatok soha nem hivatalos szoftvereket. A zsarolóvírus olyan kártékony szoftver, azaz számítógépes program, amely valamilyen fenyegetéssel próbál pénzt kicsikarni a felhasználóból. Ez rendszerint azt jelenti, hogy használhatatlanná teszi a számítógépet, vagy elérhetetlenné a rajta lévő adatokat, és csak pénzért vásárolható meg az a kód, aminek a hatására visszaállítja az eredeti állapotot.
A Little Snitch alkalmazás pedig leginkább arra jó, hogy segítségével ellenőrizni tudd a gépedről kifelé irányuló összes kapcsolatot, és segítségével megválaszthasd, melyik alkalmazás hová és hogyan kapcsolódik. Az app használata nem a legolcsóbb: egy szimpla, egy gépen használható licenc kód 45 euróba kerül. Így félig érthető, miért szeretnének az emberek más forrásból hozzájutni az alkalmazáshoz.
A felhasználók szerint már a letöltésnél helyből látszott, hogy valami nem oké a Little Snitch nem hivatalos verziójával. Az appban egy Patch nevű alkalmazással felülírható lenne a licencelés. Na itt jön a vírus a képbe, az installálás után lefutó script ugyanis egyből megfertőzi a gépet.
A script helyből elmozgatja az alapvetően Users/Shared mappába települő patchert, és átnevezi CrashReporterre, ami egy valid macOS-es folyamat, így a háttérben futva is rejtve marad az Activity Monitor árgus szemei elől. És innen indul a buli, a patch file átklónozza magát egy csomó helyre a gépen.
És szeretetből még titkosít néhány beállítási és adat fájlt is a Maceden. Mondjuk Keychain adatokat, hogy aztán azokhoz se férhess hozzá. A Findert is kicsit gatyára teszi, és a Dockot is megcakkozza.
Ahhoz viszont már nem működik elég jól, hogy valóban pénzt csaljon ki az embertől, de azért egy 50 dolláros három napig élő ajánlatott bedob, hogy azzal válthasd meg a szabadságod. Cserébe zsarolás mellé még kapsz egy keyloggert is, de az egyelőre még nem tiszta, hogy a leütéseidből begyűjtött információkkal mihez kezd a vírus.
A Malwarebytes oldalán szerencsére találhatunk orvosságot a problémára: a Ransom.OSX.EvilQuest néven megtalálható vírust sikeresen el lehet távolítani, azonban a titkosított fájlokat muszáj lesz egy biztonsági mentésből visszaállítani.
Ezért is backupoljatok rendszeresen, és természetesen senkinek sem ajánljuk, hogy nem hivatalos forrásokból próbáljon okoskodva előfizus appokhoz jutni.
Forrás: MacRumors
Borítókép: Medium
