Mac : Le ransomware "EvilQuest" est bien plus dangereux que décrit initialement
- Julien Russo
- Il y a 4 ans (Màj il y a 4 ans)
- 💬 3 coms
- 🔈 Écouter
Il y a moins d'une semaine, on vous révélait l'existence d'un nouveau malware qui sévissait dans l'univers macOS. Ayant le nom d'EvilQuest, il s'installe sous forme de fichier PKG lors de l'installation d'une application macOS piratée. D'après les dernières informations obtenues, il serait bien plus dangereux qu'on ne le pense.
EvilQuest, la bête noire des utilisateurs macOS
Malwarebytes a récemment présenté "EvilQuest" qui vise les utilisateurs sous Mac (quelle que soit la version de l'OS). Son objectif est de récupérer de l'argent, puisque son message est clair, vos données sont cryptées et pour récupérer vos fichiers personnels et retrouver un système macOS stable comme avant, il faut payer. Voici le message qui s'affiche plusieurs jours après l'installation de l'application infectée :
Vos fichiers sont cryptés. Un nombre important de vos documents importants, photos, vidéos, images et autres fichiers ne sont plus accessibles parce qu'ils ont été cryptés. Vous êtes peut-être occupé à chercher un moyen de récupérer vos fichiers, mais ne perdez pas votre temps. Personne ne peut récupérer vos fichiers sans notre service de décryptage. Nous vous garantissons cependant que vous pouvez récupérer vos fichiers facilement et en toute sécurité, et cela vous coûtera 50 USD sans frais supplémentaires. Notre offre est valable pendant 3 jours (à partir de maintenant !). Vous trouverez tous les détails dans le dossier : READ_ME_NOW.txt situé sur votre bureau.
Selon Patrick Wardle qui est chercheur en sécurité pour l'entreprise Mac Jamf, EvilQuest serait bien plus dangereux qu'il le prétend :
En regardant le code, si vous séparez la logique du ransomware de toutes les autres logiques de porte dérobée, les deux pièces ont tout à fait un sens en tant que logiciel malveillant individuel. Mais en les compilant, on obtient un résultat similaire. Mon intuition actuelle est que quelqu’un a conçu un malware Mac qui lui permettrait de contrôler à distance un système qui est infecté. Ils ont aussi ajouté une capacité de rançon comme un moyen de gagner de l’argent supplémentaire.
Jusqu'ici, nous savions qu'EvilQuest corrompt sur votre Mac :
- Le système macOS qui ne répond plus comme avant
- Le fonctionnement du Finder
- Vos fichiers personnels qui deviennent soudainement cryptés
- Le trousseau iCloud qui devient inaccessible
Ce qu'on vient de découvrir c'est qu'en arrière-plan, ce malware vous espionne en permanence. Il est donc capable de récupérer votre numéro de carte bancaire lors d'un achat sur internet ou encore de récupérer vos mots de passe sur différents sites web.
Dans la logique des choses, un malware qui est là pour vous espionner se fait discret.
Mais là, EvilQuest adopte deux comportements, premièrement il va vous espionner et vous demander de l'argent (donc, se faire remarquer). À noter que si la phase "espionnage" est particulièrement intéressante, elle peut être prolongée sur le long terme, dès que les données auront toutes été interceptées, Evil Quest vous demandera de l'argent pour décrypter vos fichiers.
Malwarebytes à l'origine de cette découverte a volontairement infecté un Mac pour comprendre comment ce malware fonctionne, Thomas Reed qui est le directeur des plateformes Mac et mobiles a expliqué qu'une fois qu'il l'avait installé pour le tester, toutes les 30 secondes le Mac déclenchait une alerte pour prévenir d'un programme suspect.
Voila de quoi renforcer l’intérêt des outils antivirus comme Intego qu’on a présenté récemment.