Usuários de Mac estão expostos a uma nova ameaça. A empresa de segurança Malwarebytes descobriu recentemente um novo ransomware chamado “EvilQuest”, que criptografa os arquivos do usuário e causa problemas no sistema operacional. O código malicioso em questão é distribuído por meio de aplicativos piratas para o macOS.
Um ransomware é uma espécie de vírus que bloqueia os arquivos do usuário para pedir resgate por eles. O código malicioso em questão foi encontrado pela primeira vez em uma cópia pirata do aplicativo Little Snitch, distribuída em um site russo de torrents. O app baixado vem em um instalador no formato PKG, ao contrário da versão original.
Ao inspecionar esse arquivo PKG, a Malwarebytes descobriu que o aplicativo vem com um “postinstall script”, que é um código utilizado pelos desenvolvedores para limpar arquivos temporários que são necessários apenas durante o processo de instalação de um programa. Nesse caso, porém, o código implementa o vírus no macOS.
O arquivo que contém o código é copiado para uma pasta relacionada ao app pirata baixado e costuma ter o nome de CrashReporter. Dessa forma, o usuário provavelmente não notará o vírus em ação, já que o próprio macOS possui uma ferramenta interna com um nome similar.
Segundo a Malwarebytes, leva algum tempo até que o código seja executado após a instalação do aplicativo baixado. Isso porque a ideia é evitar que o usuário associe o vírus com o app que causou o problema no Mac. Depois que o código malicioso é ativado, ele modifica arquivos do usuário e também do sistema operacional com um tipo desconhecido de criptografia.
Parte da criptografia faz com que o Finder e outras partes do sistema deixem de funcionar corretamente. Até mesmo o gerenciador de senhas do macOS é corrompido no processo, de forma que o usuário não consiga mais acessar e fazer uma cópia de senhas e certificados salvos no Mac.
Uma mensagem na tela diz que o usuário precisa pagar US$50 (cerca de R$270 em conversão direta) para recuperar os arquivos. Caso contrário, o vírus promete apagar todos os dados da máquina após três dias. A mensagem se trata de um golpe — mesmo pagando esse valor, os arquivos não podem ser recuperados.
Infelizmente, ainda não há uma maneira simples de se livrar do vírus depois que ele já criptografou os arquivos. A única solução é formatar o computador, o que resultará na perda de todos os arquivos. A empresa de segurança ressalta a importância de se manter um backup completo do Mac para casos assim.
Embora esse código malicioso seja distribuído apenas em aplicativos piratas por enquanto, nada impede de que pessoas má intencionadas disponibilizem outros apps com esse vírus. A Apple ainda não se pronunciou sobre o assunto.
O melhor caminho para evitar o vírus é não instalar aplicativos piratas no Mac. Os aplicativos que podem ser baixados por meio da App Store não são afetados.
Você pode ler mais detalhes técnicos sobre o “EvilQuest” no site da Malwarebytes.
Artigo publicado originalmente em inglês pelo autor no site 9to5Mac.
