Plusieurs chercheurs en sécurité mettent en garde contre un nouveau type de rançongiciel Mac qui ne coûte pas cher, mais qui peut également voler secrètement des fichiers d’utilisateurs sans méfiance.

Le ransomware EvilQuest, découvert par K7 Lab’s Dinesh Devadoss lundi 29 juillet et examiné par la suite par la firme de cybersécurité Malwarebytes, entre autres, semble circuler sur des forums de torrent où l’on trouve souvent des logiciels piratés. (Il n’est pas clair qui a proposé le nom EvilQuest.)

« Un article a proposé un téléchargement torrent pour Little Snitch, et a été rapidement suivi par un certain nombre de commentaires selon lesquels le téléchargement incluait des logiciels malveillants », a expliqué Thomas Reed de Malwarebytes dans un article de blog hier (30 juin). « En fait, nous avons découvert que ce n’était pas seulement un malware, mais une nouvelle variante de ransomware Mac se propageant via le piratage. »

Table des matières hide
1 Tromper les victimes
2 Capacités de débogage
3 Frais de rançon Bitcoin

Tromper les victimes

La version d’EvilQuest que Reed a vue se faisait passer pour un installateur de torrent légitime pour Little Snitch, une application qui fournit des capacités de surveillance du réseau pour MacOS.

Reed a déclaré que même si LittleSnitch était normalement «joliment et professionnellement emballé», cette version était plutôt «un simple package d’installation Apple avec une icône générique».

Publicité

Cependant, il contenait une installation fonctionnelle de LittleSnitch, fournie avec un script shell qui charge et exécute le malware EvilQuest.

EvilQuest a également été trouvé dans les programmes d’installation pour d’autres applications. Devadoss l’a trouvé déguisé en Google Software Update, tandis que le chercheur en sécurité Mac Patrick Wardle je l’ai trouvé dans l’application DJ Mixed in Key. Reed lui-même a remarqué une version imitant le logiciel de création musicale Ableton Live.

Capacités de débogage

Dès que le programme d’installation a été téléchargé et exécuté, le malware commence à infecter l’appareil de la victime. Comme de nombreuses souches de logiciels malveillants récentes, EvilQuest est même en mesure de savoir s’il fonctionne sur un appareil virtuel ou si des outils de débogage sont en cours d’exécution.

Le malware peut également détecter si un appareil infecté utilise des applications anti-malware de sociétés comme Kaspersky et des applications de sécurité telles que Little Snitch, conformément à un rapport de Bleeping Computer.

Reed a averti: « Une fois que l’infection a été déclenchée par le programme d’installation, le malware a commencé à se répandre assez généreusement autour du disque dur. »

Ensuite, le malware découvrira les détails du serveur de commande et de contrôle via http: //andrewka6.pythonanywhere[.]com / ret.txt afin qu’il puisse télécharger puis crypter des fichiers à partir d’un appareil infecté.

Frais de rançon Bitcoin

Pour retrouver l’accès aux fichiers cryptés, les victimes sont invitées à payer une rançon de 50 $ en bitcoins – une somme dérisoire par rapport aux sommes importantes que les escrocs du ransomware demandent souvent – et ont un délai de 72 heures. Malheureusement, il n’y a aucun moyen de contacter les escrocs après le paiement de la rançon afin que vos fichiers soient libérés.

Lawrence Abrams de Bleeping Computer pense que la partie ransomware – qui « n’a pas très bien fonctionné », selon Reed de Malwarebytes – peut être juste une ruse.

Abrams a plongé dans le code et a découvert qu’EvilQuest pille le dossier Utilisateurs sur un Mac, à la recherche d’images, de PDF, de fichiers de sauvegarde, de bases de données, de portefeuilles de crypto-monnaie et de fichiers Word, Excel et PowerPoint. Le logiciel malveillant exporte ensuite des copies de ces fichiers, tant qu’ils ont une taille inférieure à 800 Ko, vers son serveur de commande et de contrôle.

Pour éviter l’infection par EvilQuest, ou par tout autre logiciel malveillant Mac, assurez-vous d’exécuter l’un des meilleurs programmes antivirus Mac. Cela ne ferait probablement pas de mal d’installer également Wardle’s RançonOù utilitaire, qui est gratuit (bien que Wardle accepte les dons).

Reed a recommandé de sauvegarder vos fichiers pour avoir des pièces de rechange en cas d’attaque par un ransomware.

«La meilleure façon d’éviter les conséquences des ransomwares est de maintenir un bon ensemble de sauvegardes», écrit-il dans le blog de Malwarebytes. «Conservez au moins deux copies de sauvegarde de toutes les données importantes, et au moins une ne doit pas être attachée à votre Mac à tout moment. (Le ransomware peut essayer de chiffrer ou d’endommager les sauvegardes sur les disques connectés.) « 

«J’ai personnellement plusieurs disques durs pour les sauvegardes. J’utilise Time Machine pour entretenir un couple et Carbon Copy Cloner pour en entretenir un autre. L’une des sauvegardes est toujours dans le coffre-fort de la banque, et je les échange régulièrement, de sorte que dans le pire des cas, j’ai toujours des données raisonnablement récentes stockées dans un endroit sûr. »


Rate this post
Publicité
Article précédentDigimon Adventure Nods à la série originale avec un retour monstrueux
Article suivantGoogle confirme une mise à niveau massive pour les utilisateurs de Chrome
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici