Apple ha aggiornato Xprotect, il sistema integrato da MacOS 10.6 in poi capace di proteggere i Mac dai vari malware in circolazione, bloccandone automaticamente il download. Con questo aggiornamento viene bloccato anche ThiefQuest, il pericoloso ransomware di cui si è parlato molto nei giorni scorsi.
Il malware in questione potrebbe essere un’evoluzione di EvilQuest, è contenuto in alcuni software pirata per Mac reperibili in rete, ed è un malware molto pericoloso che cifra tutti i file presenti sul computer con lo scopo di chiedere poi un riscatto, ma a differenza di altri malware della stessa tipologia al momento non consente il recupero dei file cifrati, nemmeno dopo il pagamento del riscatto.
Si nasconde il più possibile, assumendo le sembianze di un processo riconducibile a codice di sistema Apple o di applicazione Google. Si ipotizza sia una beta non ancora finalizzata ed in fase di test per essere poi distribuita in modo più esteso e capillare.
Secondo alcuni report installa inoltre un keylogger in grado di memorizzare tutto ciò che viene digitato dall’utente, comportandosi anche da Reverse Shell, permettendo cioè di monitorare il traffico dati sia in ingresso che in uscita, ed è in grado di rubare file legati alle criptovalute.
La protezione Xprotect di Apple analizza i download effettuati con Safari, Mail, Messaggi e con altre applicazioni, in modo da capire se contengono del codice eseguibile, caso in cui viene avvisato l’utente. La presenza di software malevolo viene verificata collegandosi ad un database online che Apple aggiorna periodicamente.
Il database che contiene le definizioni dei malware è contenuto nel file di sistema XProtect.plist localizzato in /System/ Library/CoreServices/CoreTypes.bundle/ Contents/Resources/.
Photo di copertina by Michael Geiger on Unsplash
Seguici sui social e sul nostro canale YouTube