Pas op met Mac-apps: nieuwe ransomware in omloop
Lees verder na de advertentie
Virussen en ander kwaadaardige software komen gelukkig niet vaak voor op een Mac, maar nu is er vervelende gijzelsoftware in de omloop. Beveiligingsonderzoekers troffen nieuwe ‘EvilQuest’-ransomware aan, die bestanden versleutelt, je toetsaanslagen opslaat en cryptovaluta steelt.
EvilQuest
De ransomware wordt verspreid via geïnfecteerde apps. Die download je buiten de Mac App Store om – vaak via torrentsites. De EvilQuest-ransomware werd voor het eerst ontdekt in een versie van de app Little Snitch. Deze versie was te vinden op een Russisch forum. Later werd het ook gevonden bij een illegale versie van de DJ-app Mixed in Key.
Bij het downloaden van de geïnfecteerde app installeer je een PKG-installatiebestand. Hier zit een ‘postinstall-script’ bij, dat doorgaans wordt gebruikt om de installatie op te schonen als de installatie is voltooid. Maar in plaats daarvan implementeert het script malware in macOS.
Als de ransomware werkt, verspreidt deze zich over de harde schijf van de Mac. Dit gebeurt op de achtergrond. Zelfs in de Activiteitenweergave valt je niet snel iets op, omdat de schadelijke code zich heeft hernoemd naar een interne app in macOS: Crash Reporter. Ook vermomt het zich soms als Google Software Update, een systeemtaak van Google Chrome.
Wanneer de bestanden zijn versleuteld, verschijnt er een bericht op het scherm waarbij verteld wordt dat je $ 50 moet betalen om de bestanden te herstellen. Doe je dit niet, dan zou alles na drie dagen worden verwijderd. De schadelijke code zorgt er verder voor dat Finder niet goed werkt en de Mac vaak crasht. Bovendien installeert EvilQuest een keylogger. Met deze software kunnen criminelen op afstand zien wat je aan het typen bent. De schadelijke code probeert ook portefeuillebestanden van cryptovaluta te stelen.
Ransomware voorkomen
Kortom: EvilQuest wil je niet op je Mac hebben. Je kunt eenvoudig voorkomen dat dit gebeurt: download simpelweg niets via dubieuze torrentsites. Installeer alleen programma’s via de Mac App Store, of via officiële websites van ontwikkelaars die zeker te vertrouwen zijn.
Eventueel kun je ook de gratis app RansomWhere? installeren. De software controleert of er ergens op je harde schijf bestanden door ransomware versleuteld worden, waarna je het proces direct kunt verwijderen. Meer hierover lees je in het artikel Ransomware is overal: zo bescherm je je Mac (en je portemonnee).
Apple waarschuwt er voor om juist geen apps te installeren die niet in de AppStore staan. RansomeWhere staat helaas niet in de AppStore. Ik zie het programma niet terug bij mijn Apps. Hoe kan ik het eventueel weer verwijderen?