Macユーザーは、ファイルを暗号化し、オペレーティングシステムに複数の問題を引き起こす新たなランサムウェア「ThiefQuest」の脅威にさらされています。Malwarebytesは本日、macOS海賊版アプリを通じて配布されているこのランサムウェアの解析を行いました。

この悪意のあるコードは、ロシアのフォーラムでトレントリンク経由で入手可能なLittle Snitchアプリの海賊版で初めて発見されました。ダウンロードされたアプリには、オリジナル版とは異なり、PKGインストーラファイルが付属していました。

MalwarebytesはこのPKGファイルを調査した結果、アプリに「ポストインストールスクリプト」が付属していることを発見しました。これは通常、インストールプロセス完了後にクリーンアップするために使用されます。しかし、今回のケースでは、このスクリプトがmacOSにマルウェアを実装していました。

スクリプトファイルは、Little Snitchアプリに関連するフォルダ「CrashReporter」にコピーされます。macOSには同様の名前の内蔵アプリが存在するため、アクティビティモニタでスクリプトの実行に気付くことはありません。設定場所は/Library/LittleSnitchd/CrashReporterです。

Malwarebytesによると、ランサムウェアはインストール後、動作を開始するまでに時間がかかるため、ユーザーはインストールしたばかりのアプリと関連付けることができません。悪意のあるコードが起動すると、システムファイルとユーザーファイルを未知の暗号化方式で変更します。

暗号化の一部が原因で、Finderが正常に動作せず、システムが頻繁にクラッシュします。システムのキーチェーンさえも破損し、Macに保存されているパスワードや証明書にアクセスできなくなりました。画面には、ファイルの復元には50ドルを支払う必要があるというメッセージが表示され、支払わない場合は3日後にすべて削除されるとの警告が出されました。

ディスク全体をフォーマットしない限り、マルウェアがファイルを暗号化した後でそれを取り除く方法はまだないので、ユーザーはすべての最新のバックアップを保持する必要があります。

ランサムウェアの被害を回避する最善の方法は、適切なバックアップを常に確保しておくことです。重要なデータはすべて少なくとも2つのバックアップコピーを保管し、少なくとも1つはMacに常時接続しないでください。（ランサムウェアは、接続されたドライブ上のバックアップを暗号化したり、破損させたりする恐れがあります。）

ランサムウェアは今のところ海賊版アプリにのみ含まれていますが、この悪意のあるコードはApp Storeの外で配布されるより多くのアプリに含まれている可能性があるため、Appleはこのセキュリティ上の欠陥をできるだけ早く修正する必要があります。

ThiefQuest のより詳しい技術的詳細については、Malwarebytes の Web サイトで読むことができます。

更新:マルウェアの元の名前である EvilQuest は、2012 年に同じ名前の正規のゲームが登場したため変更されました。新しい名前は ThiefQuest です。

havebin.com を Google ニュース フィードに追加します。