Ransomware: EvilQuest in illegalen Kopien entdeckt

Die Sicherheitsforscher von Malwarebytes haben eine neue Ransomware entdeckt, sie soll sich in illegalen Kopien von Mac-Software befinden. Das Ziel ist es, Geld von möglichen Infizierten zu erpressen. 

Die Funktionsweise von EvilQuest gleicht klassischer Ransomware. Einmal installiert, beginnt der Schädling sich in das System einzunisten und die Festplatte bzw. SSD zu verschlüsseln. Nutzer verlieren so den Zugriff auf ihre Daten. Um diesen wieder zu erhalten, wird eine Gebühr fällig. 50 US-Dollar (ohne zusätzliche Gebühren) sollen es sein. Ob die Verschlüsselung dann aufgehoben wird, bleibt fraglich.

Zudem installiert EvilQuest auch einen Keylogger. So werden alle Tastatureingaben, wie Passwörter, gespeichert. Gefunden wurde der Schädling in einer mutmaßlichen illegalen Kopie von Little Snitch. Statt einem gecrackten Installer versteckt sich dort aber der generische Installer der Ransomware.

EvilQuest – Installation und Maskierung

Beim Ausführen des Installers landet eine Datei namens „Patch“ im Shared Verzeichnis des Users und das Skript wird gestartet. Es benennt sich selbst zu „CrashReporter“ um, um so in der Aktivitätsanzeige nicht aufzufallen.

Generell gilt: Software sollte nur aus vertrauenswürdigen Quellen installieren. Little Snitch wird nicht im App Store angeboten, kann aber direkt über die Seite des Entwicklers bezogen werden.

Via Malwarebytes