Pas op! Nieuwe EvilQuest ransomware opgedoken in macOS apps
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2020%2F07%2FRansomware-macos.jpg)
Er is nog een reden bijgekomen waarom je geen macOS app moet piraten. Hierin is onlangs namelijk nieuwe EvilQuest ransomware gevonden die systeemfouten veroorzaakt en persoonlijke bestanden gegijzeld houdt. De website Malwarebytes heeft de ransomware onderzocht en dit is wat je moet weten.
De code die voor problemen zorgt, werd voor het eerst ontdekt in een illegale kopie van de Little Snitch App en later ook in een illegale versie van de DJ-app Mixed in Key. Malwarebytes heeft het PKG bestand waarmee je de app installeert onderzocht. Hoewel deze er op het eerste oog normaal uitzag, viel iets opmerkelijks op wanneer het ‘postinstall-script’ wat beter bekeken werd.
Nieuwe ransomware duikt op
Normaal gesproken zorgt deze ervoor dat de installatie opgeschoond wordt nadat deze voltooid is. Dat was nu niet het geval. In plaats daarvan wordt je macOS geïnfecteerd met malware. Deze vermomt zich vervolgens als een interne app door zichzelf te hernoemen. Meestal gaat hij door het leven als Crash Reporter of als Google Software Update. Hierdoor blijft hij in de Activiteitenweergave onder de radar, terwijl hij ondertussen je bestanden overneemt.
Dit doet deze ransomware niet direct. Er is bewust voor gekozen om er enige tijd overheen te laten gaan. Op deze manier is het voor het slachtoffer moeilijker om herleiden hoe de ransomware is binnengekomen. Wanneer deze uiteindelijk actief wordt, gebeuren er verschillende dingen.
De gevolgen voor je Mac
Systeembestanden en gebruikersbestanden worden aangepast door een nog onbekende encryptie. Deze zorgt er onder anderen voor dat de Finder niet meer naar behoren werkt en dat je last krijgt van vastlopers. Ook de Keychain wordt geraakt waardoor je geen toegang meer hebt tot wachtwoorden die zijn opgeslagen op je Mac.
Zoals bij de meeste ransomware kun je weer toegang krijgen, maar dan moet je wel 50 dollar overmaken. Het wordt afgeraden om dit te doen. Meestal krijg je nadat je betaald hebt nog steeds geen toegang en vaak zijn bestanden zo beschadigd dat je er toch niet meer bij kan komen. Op dit moment is er dan ook nog geen andere oplossing dan je schijf te formatteren en opnieuw te beginnen.
Bescherm jezelf tegen ransomware
Hoewel deze ransomware nu opduikt in een illegaal verkregen app, betekent het niet dat je veilig bent wanneer je alles legaal doet. Deze code zou namelijk ook op kunnen duiken in legale apps die buiten de App Store gedistribueerd worden. Houd er rekening mee dat je nooit helemaal veilig bent en maak regelmatig een back-up van belangrijke bestanden.
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2024%2F04%2Fdaniel-romero-AgLMrojqjAM-unsplash.jpg)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2024%2F04%2FGoogle-Pixel-Tablet.png){kind=tracking}
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2024%2F04%2FiPhone-15-Pro.png)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2024%2F04%2Fdaniel-korpai-A5Z9g4xP6Yw-unsplash.png)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2023%2F10%2FiPhone-15-Pro-Max-Apple.jpeg)
:format(jpeg):background_color(fff)/https%3A%2F%2Fwww.want.nl%2Fwp-content%2Fuploads%2F2024%2F04%2FiPad-app-Apple.jpeg)