Les utilisateurs de Mac qui sont enclins à se tourner vers les torrents pour obtenir un logiciel sans le payer ont été avertis d’être à l’affût une nouvelle souche de ransomware – surnommé EvilQuest par les chercheurs – qui se propage à travers des versions piratées de produits logiciels macOS populaires.
Découvert ces derniers jours, EvilQuest a déjà été disséqué par un certain nombre de chercheurs, dont Thomas Reed de Malwarebytes et Patrick Wardle d’Objective-See et Jamf, qui ont tous deux détecté un comportement étrange.
Par exemple, en plus de crypter les fichiers de ses victimes, EvilQuest installe également un keylogger et une coque inversée pour un serveur de commande et de contrôle (C2) et est capable de voler tous les fichiers qu’il trouve liés aux portefeuilles de crypto-monnaie.
Wardle a écrit: «Armé de ces capacités, l’attaquant peut contrôler totalement un hôte infecté.» Cela signifie que même si les victimes paient la rançon pour déchiffrer leurs fichiers – qui semble être fixé à 50 $ en bitcoin – les cybercriminels conservent l’accès à leur système et peuvent poursuivre d’autres activités.
James McQuiggan, un défenseur de la sensibilisation à la sécurité à KnowBe4, a déclaré: «Ce n’était qu’une question de temps avant que le ransomware ciblant macOS X ne devienne disponible dans la nature, et ce n’est pas une simple attaque de ransomware. Non seulement l’attaque rendra vos données indisponibles, mais elle contient également d’autres logiciels malveillants pour voler des informations d’identification et d’autres fonctionnalités d’accès à distance. »
EvilQuest semble également quelque peu réticent à crypter les fichiers, selon Reed, qui a déclaré qu’il lui avait fallu réinitialiser l’horloge système de sa machine sandbox trois jours à l’avance pour qu’il commence son travail – peut-être une technique d’obfuscation conçu pour rendre plus difficile le suivi de sa source.
«Le malware n’était cependant pas particulièrement intelligent sur les fichiers qu’il chiffrait», a-t-il écrit dans son blog de divulgation. «Il semble qu’il crypte un certain nombre de fichiers de paramètres et d’autres fichiers de données, tels que les fichiers du trousseau. Cela entraînait un message d’erreur lors de la connexion au post-cryptage.
« Bien que d’autres aient signalé qu’un fichier est créé avec des instructions sur le paiement de la rançon, ainsi qu’une alerte affichée, et même la synthèse vocale utilisée pour informer l’utilisateur qu’il a été infecté par un ransomware, je n’ai pas pu dupliquer aucun ceux-ci, bien qu’ils aient attendu assez longtemps pour que le ransomware se termine. »
Reed a déclaré qu’il restait encore un certain nombre de questions auxquelles il n’avait pas été en mesure de répondre, telles que le type de cryptage utilisé par EvilQuest, s’il est sécurisé ou assez facile à déchiffrer et s’il est réversible.
«Si vos fichiers sont chiffrés, nous ne savons pas à quel point la situation est désastreuse», a-t-il écrit. «Cela dépend du cryptage et de la manière dont les clés sont gérées. Il est possible que des recherches supplémentaires conduisent à une méthode de décryptage des fichiers, et il est également possible que cela n’arrive pas. »
L’enquête sur EvilQuest se poursuit, mais Reed a averti que si vous vous trouvez infecté par celui-ci – il peut déjà être détecté par le service Mac de Malwarebytes – vous voudrez vous en débarrasser le plus rapidement possible avant qu’il ne puisse causer trop de dégâts.
«La meilleure façon d’éviter les conséquences des ransomwares est de conserver un bon ensemble de sauvegardes», a écrit Reed. «Conservez au moins deux copies de sauvegarde de toutes les données importantes, et au moins une ne doit pas rester attachée à votre Mac à tout moment. Si vous avez de bonnes sauvegardes, les ransomwares ne sont pas une menace pour vous. Au pire, vous pouvez simplement effacer le disque dur et restaurer à partir d’une sauvegarde propre. »
McQuiggan de KnowBe4 a déclaré que l’émergence d’un nombre croissant de souches de logiciels malveillants ciblant les appareils Apple était une source de préoccupation. «Pendant des années, macOS a fourni un système sécurisé et privé à ses utilisateurs finaux», a-t-il déclaré. «Les cybercriminels profitent de l’accès au système pour permettre aux enregistreurs de frappe de capturer les informations d’identification et les mots de passe des utilisateurs, ce qui peut ne pas être évident via d’autres méthodes d’attaque.
«Si ce ransomware ou tout autre ransomware affecte les utilisateurs, il est essentiel de formater le système après avoir récupéré les données pour éviter des infections supplémentaires. Avec les données récupérées à partir de la sauvegarde ou du paiement de la rançon, cela peut donner un faux sentiment de soulagement que le cryptage a disparu. Cependant, les cybercriminels peuvent laisser des fichiers supplémentaires indétectables par les systèmes anti-programmes malveillants et peuvent entraîner d’autres accès non autorisés ou le vol de données. »