Des chercheurs en sécurité informatique ont découvert une souche de ransomware qui cible exclusivement les ordinateurs exécutant le système d’exploitation macOS. Connue sous le nom d’OSX.ThiefQuest, la nouvelle variante de ransomware Mac diffère des autres menaces de ransomware sur ses opérations. Outre le cryptage des fichiers, le rançongiciel macOS installe un enregistreur de frappe et un shell inversé sur les appareils infectés. ThiefQuest vole également les fichiers utilisateur liés au portefeuille de crypto-monnaie des hôtes infectés. Les chercheurs ont également constaté que les opérateurs de rançongiciels ne suivent pas les paiements et sont peu susceptibles de fournir les clés de décryptage même si leurs clients ont payé la rançon.
Indicateurs de compromission du rançongiciel ThiefQuest macOS
Patrick Wardle, chercheur principal en sécurité chez Jamf, a déclaré que le rançongiciel ThiefQuest macOS maintient le contrôle sur l’hôte infecté même après le paiement de la rançon. Les opérateurs de menaces ThiefQuest continuent de collecter les frappes et d’exécuter des commandes personnalisées à partir de son serveur de commande et de contrôle, situé à andrewka6.pythonanywhere.com.
Le ransomware se déguise sous différents noms tels que «com.apple.questd» et «CrashReporter». Il peut également détecter s’il s’exécute sur une machine virtuelle et si un antivirus s’exécute sur le système pour éviter la détection.
Wardle a déclaré que le rançongiciel macOS commence à crypter les fichiers dès qu’il est exécuté. Une fois le cryptage terminé, le ransomware affiche une fenêtre contextuelle informant l’utilisateur de l’infection et du cryptage de leurs fichiers. Le message demande alors à l’utilisateur d’ouvrir une note de rançon stockée sur le bureau.
Avant de continuer à lire, que diriez-vous d’un suivi sur LinkedIn?
ThiefQuest met également à jour les fichiers de mise à jour de Google Chrome permettant au ransomware de s’exécuter chaque fois que les fichiers sont exécutés. Cependant, Reed a déclaré que l’activité était toujours sous enquête, car Google Chrome écrase ces fichiers une fois qu’il a découvert qu’une application externe les avait modifiés.
Le ransomware termine le processus en installant un enregistreur de frappe et un shell inversé pour enregistrer les frappes de l’utilisateur et exécuter des commandes personnalisées. Le rançongiciel macOS vole également des fichiers liés aux applications de portefeuille de crypto-monnaie.
Les experts en sécurité pensent que le rançongiciel macOS a été initialement conçu comme un logiciel espion et que le module de cryptage a été ajouté par la suite.
Suppression de l’infection par le rançongiciel ThiefQuest
Les chercheurs ont découvert que les opérateurs de rançongiciels n’avaient ni coordonnées ni méthode de suivi des paiements, donc incapables de savoir quel utilisateur avait payé la rançon. Par conséquent, les chercheurs pensent que la demande d’une rançon était un écran de fumée pour duper les utilisateurs désespérés en leur envoyant de l’argent sans espérer recevoir les clés de décryptage. Les chercheurs ont conseillé à tout utilisateur concerné de considérer leurs fichiers perdus et d’éviter de payer la rançon.
En collaboration avec le directeur de Mac & Mobile chez Malwarebytes, Thomas Reed et le chercheur en sécurité de macOS chez SentinelOne, Phil Stokes, les chercheurs travaillent à créer un décrypteur qui éviterait aux utilisateurs de Mac de payer la rançon.
Wardle a créé un outil de protection contre les rançongiciels macOS nommé RansomWhere qui peut détecter le rançongiciel ThiefQuest. Selon Reed, Malwarebytes pour Mac peut également protéger les appareils Mac contre cette variante de ransomware.
Parce que la plupart des gens considèrent que les Mac sont immunisés contre les logiciels malveillants par rapport aux fenêtres, les ordinateurs Apple sont devenus une cible lucrative pour les cybercriminels qui exploitent le faux sentiment de sécurité des utilisateurs de macOS. Par conséquent, il existe de nombreuses variantes de rançongiciels ciblant les utilisateurs de macOS tels que Gopher, Petya, KeRanger, Patcher et Mabouia.
James McQuiggan, défenseur de la sensibilisation à la sécurité à KnowBe4 a déclaré qu’il n’était pas surprenant que les acteurs de la menace ciblent exclusivement les appareils Mac.
«Ce n’était qu’une question de temps avant que les ransomwares ciblant Mac OS X ne soient disponibles dans la nature, et ce n’est pas une simple attaque de ransomwares. Non seulement l’attaque rendra vos données indisponibles, mais elle contient également d’autres logiciels malveillants pour voler des informations d’identification et d’autres fonctionnalités d’accès à distance. Pendant des années, Mac OS a fourni un système sécurisé et privé à ses utilisateurs finaux. Les cybercriminels profitent de l’accès au système pour permettre aux enregistreurs de frappe de capturer les informations d’identification et les mots de passe des utilisateurs, ce qui peut ne pas être évident via d’autres méthodes d’attaque. »
McQuiggan dit que la seule méthode garantie pour supprimer le ransomware était de formater les appareils infectés. il dit que récupérer les fichiers ou payer la rançon pourrait donner aux utilisateurs un faux sentiment de soulagement uniquement pour que l’infection se reproduise.
« Les cybercriminels peuvent laisser des fichiers supplémentaires indétectables par les systèmes anti-malware et pourraient entraîner un accès non autorisé ou un vol de données. »
Il conseille aux utilisateurs d’ordinateurs individuels et aux organisations de se tenir informés des dernières menaces de malware et d’ingénierie sociale.
Mode de distribution de ThiefQuest
Dinesh Devadoss, un chercheur de K7 Lab Security, a déclaré que le rançongiciel macOS était en circulation depuis début juin de cette année. Reed a déclaré que ThiefQuest se propageait via un logiciel piraté macOS partagé sur divers sites de streaming torrent et forums en ligne. Certaines des applications utilisées pour diffuser le ransomware macOS incluent le logiciel de mixage DJ Mixed In Key, Ableton et l’outil de sécurité Mac Little Snitch. Les chercheurs ont déclaré qu’en dehors des applications répertoriées, il existait davantage d’applications infectées dans la nature. Pour éviter l’infection, les utilisateurs doivent éviter de télécharger des fichiers piratés et tout fichier provenant de sources suspectes et de sites Web torrent.