Un nouveau ransomware Mac 'EvilQuest' trouvé dans des applications piratées crypte les fichiers des utilisateurs

Les utilisateurs de Mac sont désormais exposés à un nouveau ransomware «EvilQuest» qui crypte les fichiers et cause plusieurs problèmes au système d'exploitation. Malwarebytes a analysé le ransomware aujourd'hui, qui est distribué via des applications piratées macOS.

Le code malveillant a d'abord été trouvé dans une copie pirate de l'application Little Snitch disponible sur un forum russe avec des liens torrent. L'application téléchargée est livrée avec un fichier d'installation PKG, contrairement à sa version d'origine.

En examinant ce fichier PKG, Malwarebytes a découvert que l'application est livrée avec un «script de post-installation», qui est généralement utilisé pour nettoyer l'installation une fois le processus terminé. Dans ce cas, cependant, le script implémente un malware sur macOS.

Le fichier de script est copié dans un dossier lié à l'application Little Snitch sous le nom CrashReporter, de sorte que l'utilisateur ne le remarquera pas en cours d'exécution dans le moniteur d'activité car macOS a une application interne avec un nom similaire. L'emplacement défini est: / Library / LittleSnitchd / CrashReporter.

Malwarebytes note qu'il faut un certain temps avant que le ransomware ne commence à fonctionner après son installation, donc l'utilisateur ne l'associera pas à la dernière application installée. Une fois le code malveillant activé, il modifie les fichiers système et utilisateur avec un cryptage inconnu.

Une partie du chiffrement empêche le Finder de fonctionner correctement et le système se bloque constamment. Même le trousseau du système est corrompu, il est donc impossible d'accéder aux mots de passe et aux certificats enregistrés sur le Mac. Un message à l'écran indique que l'utilisateur doit payer 50 $ pour récupérer ses fichiers, sinon tout sera supprimé après trois jours.

Il n'y a toujours aucun moyen de se débarrasser des logiciels malveillants après avoir chiffré les fichiers sans formater l'intégralité du disque, les utilisateurs doivent donc conserver une sauvegarde à jour de tout.

La meilleure façon d'éviter les conséquences des ransomwares est de maintenir un bon ensemble de sauvegardes. Conservez au moins deux copies de sauvegarde de toutes les données importantes, et au moins une ne doit pas être attachée à votre Mac à tout moment. (Le ransomware peut essayer de chiffrer ou d'endommager les sauvegardes sur les disques connectés.)

Bien que le ransomware soit uniquement inclus avec les applications piratées pour l'instant, Apple doit corriger cette faille de sécurité le plus rapidement possible car ce code malveillant peut être inclus dans plus d'applications distribuées en dehors de l'App Store.

Vous pouvez lire plus de détails techniques sur EvilQuest sur le site Web de Malwarebytes.