Macユーザーをターゲットにしたランサムウェア「EvilQuest」が発見される、身代金支払後もターゲットを逃がさない凶悪さ

macOSがインストールされたMacを対象とした新しいマルウェア「EvilQuest」が2020年6月30日に発見されました。「EvilQuest」と呼ばれるこのマルウェアは、Macのデータを暗号化して復号キーと引き替えに金銭の支払いを要求するランサムウェアとしての機能だけでなく、入力を監視するキーロガーの機能なども備えているため、仮に被害者が身代金を支払っても攻撃者から監視され続ける危険性があると指摘されています。

「EvilQuest」を最初に特定したのは、セキュリティ研究者のDinesh Devadoss氏です。同氏は2020年6月30日にTwitterで、「検出されたことのない、Google ChromeのソフトウェアアップデートプログラムになりすましたmacOSをターゲットとするランサムウェアを発見しました」と投稿し、macOSを対象としたランサムウェアの発見を報告しました。

Devadoss氏の報告を受け、セキュリティ企業Malwarebytesのトーマス・リード氏がEvilQuestの調査を行いました。リード氏は「macOS向けのネットワーク監視ソフト『Little Snitch』の海賊版のインストーラーにも、EvilQuestが紛れ込んでいることが分かりました」とMalwarebytesの公式ブログ内で報告しています。

また、macOSを専門とするセキュリティ企業Objective-Seeのパトリック・ウォードル氏により、DJ向け音楽制作ソフト「Mixed In Key」の海賊版にも、EvilQuestが混入されていることが突き止められました。

ウォードル氏はさらに、EvilQuestのコードを解析した結果からEvilQuestには「キーロガー機能」や、被害者から攻撃者への通信を確立するリバースシェルを介して「暗号通貨に関するデータを盗む機能」も搭載していることを突き止めました。

このことから、アメリカのIT系ニュースサイトZDNetは、「仮に被害者が身代金を支払ったとしても、攻撃者は被害者のPCにアクセスしてファイルやPCへの入力を盗み続けることができます」と述べました。

リード氏によると海賊版Little Snitchのインストーラーに紛れ込んだEvilQuestには、マルウェア自身をインストールする能力はあるものの、海賊版Little Snitchをインストールするプロセスは正常に動かず、インストーラーが途中で停止してしまうそうです。

また、EvilQuest発見の発端となったChromeのアップデートプログラムには、ファイルが変更されていることを感知して正常なファイルに置き換える機能があるため、Chromeを介した感染も確認できなかったとのことです。

リード氏が、意図的にEvilQuestに感染させたMacの時間を感染から3日後に設定したところ、端末内のファイルが暗号化され、身代金50ドル(約5300円)を要求するメッセージが表示されました。感染から3日後に暗号化が開始されるのは、感染経路を隠す意図があるからではないかと推測されています。

こうした解析結果からリード氏は、「このマルウェアに感染した場合は、できるだけ早くMacから除去する必要があります。また、ランサムウェアの影響を回避する最良の方法は、バックアップを用意しておくことです。特に重要なデータは2つバックアップを取り、そのうち1つはMacに接続したままにしないようにしてください。適切なバックアップがあれば、ランサムウェアは脅威になりません」と述べました。

Devadoss氏が指摘したように、6月30日の時点では、主要な60以上のアンチウイルスエンジンを使ってマルウェアの検出を行えるサービスVirusTotalで検索しても、EvilQuestを検出することができるアンチウイルスソフトはありませんでした。一方、Objective-SeeがリリースしているBlockBlockやRansomWhereなら検知が可能とのこと。また、MalwarebytesがリリースしているMalwarebytes for Macも、既にEvilQuestを検知できるようアップデートされているとのことです。