Mac : Le ransomware "EvilQuest" est bien plus dangereux que décrit initialement

os-x-el-capitan ipa iphoneIl y a moins d'une semaine, on vous révélait l'existence d'un nouveau malware qui sévissait dans l'univers macOS. Ayant le nom d'EvilQuest, il s'installe sous forme de fichier PKG lors de l'installation d'une application macOS piratée. D'après les dernières informations obtenues, il serait bien plus dangereux qu'on ne le pense.

EvilQuest, la bête noire des utilisateurs macOS

Malwarebytes a récemment présenté "EvilQuest" qui vise les utilisateurs sous Mac (quelle que soit la version de l'OS). Son objectif est de récupérer de l'argent, puisque son message est clair, vos données sont cryptées et pour récupérer vos fichiers personnels et retrouver un système macOS stable comme avant, il faut payer. Voici le message qui s'affiche plusieurs jours après l'installation de l'application infectée :

Vos fichiers sont cryptés. Un nombre important de vos documents importants, photos, vidéos, images et autres fichiers ne sont plus accessibles parce qu'ils ont été cryptés. Vous êtes peut-être occupé à chercher un moyen de récupérer vos fichiers, mais ne perdez pas votre temps. Personne ne peut récupérer vos fichiers sans notre service de décryptage. Nous vous garantissons cependant que vous pouvez récupérer vos fichiers facilement et en toute sécurité, et cela vous coûtera 50 USD sans frais supplémentaires. Notre offre est valable pendant 3 jours (à partir de maintenant !). Vous trouverez tous les détails dans le dossier : READ_ME_NOW.txt situé sur votre bureau.

Selon Patrick Wardle qui est chercheur en sécurité pour l'entreprise Mac Jamf, EvilQuest serait bien plus dangereux qu'il le prétend :

En regardant le code, si vous séparez la logique du ransomware de toutes les autres logiques de porte dérobée, les deux pièces ont tout à fait un sens en tant que logiciel malveillant individuel. Mais en les compilant, on obtient un résultat similaire. Mon intuition actuelle est que quelqu’un a conçu un malware Mac qui lui permettrait de contrôler à distance un système qui est infecté. Ils ont aussi ajouté une capacité de rançon comme un moyen de gagner de l’argent supplémentaire.

virus sur mac

Jusqu'ici, nous savions qu'EvilQuest corrompt sur votre Mac :

  • Le système macOS qui ne répond plus comme avant
  • Le fonctionnement du Finder
  • Vos fichiers personnels qui deviennent soudainement cryptés
  • Le trousseau iCloud qui devient inaccessible

Ce qu'on vient de découvrir c'est qu'en arrière-plan, ce malware vous espionne en permanence. Il est donc capable de récupérer votre numéro de carte bancaire lors d'un achat sur internet ou encore de récupérer vos mots de passe sur différents sites web.
Dans la logique des choses, un malware qui est là pour vous espionner se fait discret.
Mais là, EvilQuest adopte deux comportements, premièrement il va vous espionner et vous demander de l'argent (donc, se faire remarquer). À noter que si la phase "espionnage" est particulièrement intéressante, elle peut être prolongée sur le long terme, dès que les données auront toutes été interceptées, Evil Quest vous demandera de l'argent pour décrypter vos fichiers.

Malwarebytes à l'origine de cette découverte a volontairement infecté un Mac pour comprendre comment ce malware fonctionne, Thomas Reed qui est le directeur des plateformes Mac et mobiles a expliqué qu'une fois qu'il l'avait installé pour le tester, toutes les 30 secondes le Mac déclenchait une alerte pour prévenir d'un programme suspect.

Voila de quoi renforcer l’intérêt des outils antivirus comme Intego qu’on a présenté récemment.


Source

3 réactions

NatDev - iPhone

Chaque semaine il faut rappeler que c’est chiffrer et pas crypter ??

07/07/2020 à 13h39

Dewey - iPhone premium

@lucas21 - iPhone
Parce que ce même noyau, ou d'autres composants systèmes présentent des failles que les virus et autres cochonneries peuvent exploiter.

06/07/2020 à 19h51

lucas21 - iPhone

Mais pourtant sur macOS, le noyau du logiciel est en lecture seule donc pourquoi nous avons encore des virus comme ça ?

06/07/2020 à 19h06

Donnez votre avis
Cliquez pour commenter
Vous aimerez peut-être

Suivez-nous avec notre app iSoft
Articles populaires
Les derniers articles