EvilQuest 自 2020 年 6 月以来就一直在野外传播。除了恶意加密文件并索取赎金,它还会在受害者的 MacOS 系统上安装键盘记录器、以及窃取加密货币钱包文件的代码。
前 NSA 黑客、现 Jamf macOS 安全研究员 Patrick Wardle 指出,攻击者可借此完全控制受感染的主机。与此前曝光过的许多 Mac 勒索软件一样,EvilQuest 似乎也是通过盗版软件分发渠道来散播的,比如 DJ 应用程序 Mixed In Key 和安全工具 Little Snitch 。
在一家俄罗斯论坛上提供的盗版 Little Snitch 应用中,发现了 EvilQuest。除了安装盗版 Little Snitch 外,还在 /Users/Shared 安装了另外一个名字为 Patch 的可执行文件以及安装后的脚本文件,方便感染机器。安装脚本随后会将 Patch 文件转移至新位置,然后重命名为 CrashReporter。CrashReporter 会隐藏在活动监视器中,然后 Patch 文件在 Mac 多个位置复制安装自己。
EvilQuest 勒索软件会加密 Mac 上的设置和数据文件,比如钥匙串文件,导致用户访问 iCloud 钥匙串时出现错误。安装之后,访达也会不正常,Dock 和其他应用也会出问题。EvilQuest 加密文件后,会要求用户支付 50 美元才能解密恢复文件。
勒索软件还试图利用 Google Chrome 浏览器的升级机制,因为他们甚至在名为 Google Software Update 的软件包中发现了它的身影。显然,恶意软件制作者希望借此在受感染的计算机上长期滞留。对于 macOS 用户来说,这可能是自 2017 年的 Patche、以及 2016 年的 KeRanger 之后的又一大威胁。
为避免感染 EvilQuest,建议大家还是尽量绕开盗版 BT 站点,坚持通过 Mac App Store 或受信任的第三方开发者来获取软件。