EvilQuest 自 2020 年 6 月以来就一直在野外传播。除了恶意加密文件并索取赎金,它还会在受害者的 MacOS 系统上安装键盘记录器、以及窃取加密货币钱包文件的代码。
前 NSA 黑客、现 Jamf macOS 安全研究员 Patrick Wardle 指出,攻击者可借此完全控制受感染的主机。与此前曝光过的许多 Mac 勒索软件一样,EvilQuest 似乎也是通过盗版软件分发渠道来散播的,比如 DJ 应用程序 Mixed In Key 和安全工具 Little Snitch 。
在一家俄罗斯论坛上提供的盗版 Little Snitch 应用中,发现了 EvilQuest。除了安装盗版 Little Snitch 外,还在 /Users/Shared 安装了另外一个名字为 Patch 的可执行文件以及安装后的脚本文件,方便感染机器。安装脚本随后会将 Patch 文件转移至新位置,然后重命名为 CrashReporter。CrashReporter 会隐藏在活动监视器中,然后 Patch 文件在 Mac 多个位置复制安装自己。
EvilQuest 勒索软件会加密 Mac 上的设置和数据文件,比如钥匙串文件,导致用户访问 iCloud 钥匙串时出现错误。安装之后,访达也会不正常,Dock 和其他应用也会出问题。EvilQuest 加密文件后,会要求用户支付 50 美元才能解密恢复文件。
![](https://www.xxrj.net/wp-content/uploads/2020/07/20200804054042996.jpg)
勒索软件还试图利用 Google Chrome 浏览器的升级机制,因为他们甚至在名为 Google Software Update 的软件包中发现了它的身影。显然,恶意软件制作者希望借此在受感染的计算机上长期滞留。对于 macOS 用户来说,这可能是自 2017 年的 Patche、以及 2016 年的 KeRanger 之后的又一大威胁。
为避免感染 EvilQuest,建议大家还是尽量绕开盗版 BT 站点,坚持通过 Mac App Store 或受信任的第三方开发者来获取软件。