Les ransomwares exclusifs aux Mac sont rares. EvilQuest, le dernier du genre, ne suit pas le fonctionnement habituel de ces malwares. Et pour cause : il sert simplement de distraction pour le déploiement d'un aspirateur à données.

« Peut-être que vous êtes occupés à trouver un moyen pour restaurer vos fichiers, mais ne perdez pas votre temps. Personne ne peut les restaurer sans notre service de déchiffrement. » Voici comment les hackers d’un nouveau rançongiciel mettent en garde leurs victimes dans la note de rançon laissée sur l’ordinateur.

Repéré par un chercheur du K7 Lab puis analysé par des pointures de Jamf et de Malwarebytes, EvilQuest fait partie des rares rançongiciels — ils se comptent sur les doigts d’une main — à s’attaquer uniquement à macOS, le système d’exploitation qui équipe les ordinateurs d’Apple.

Les rançonneurs ne demandent que 50 dollars à leurs victimes. // Source : Pixabay

Mais EvilQuest est particulier. Il semblerait que le chiffrement des données et la demande de rançon ne servent qu’à faire distraction pour un autre objectif : le vol des données sensibles de la victime.

Heureusement, le mode de contamination d’EvilQuest est pour l’instant restreint. Il se niche dans des logiciels piratés, téléchargés depuis des sites de Torrent, comme les logiciels de musique Ableton et Mixed In Key ou l’outil de sécurité Little Snitch. Les fichiers d’installation d’EvilQuest sont compressés avec ceux de l’app et ils se déclencheront juste après l’installation du logiciel piraté. Les chercheurs n’excluent pas que EvilQuest adopte d’autres formes de contamination dans un futur proche.

Le rançongiciel se comporte de façon louche

Une fois sur le système, EvilQuest va commencer par détecter si l’appareil est équipé d’un antivirus (Avast, Norton, Kaspersky…), afin de rester tapi dans l’ombre. Ensuite, il va ouvrir une interface système, qui servira à communiquer à distance avec un serveur contrôlé par les cybercriminels. Ils pourront ainsi exécuter des commandes sur l’ordinateur de la victime dans un sens et exfiltrer certains documents dans l’autre sens.

Alors que les rançongiciels habituellement déployés sur Windows œuvrent méthodiquement pour chiffrer en priorité certains fichiers, EasyQuest agit comme un poulet sans tête et chiffre tout ce qui se trouve sur son chemin. Ce chiffrement chaotique a des conséquences : il peut geler Finder, rendre impossible l’utilisation du mot de passe de l’ordinateur ou encore changer l’organisation du Dock. Il peut donc bloquer l’accès aux outils nécessaires pour payer la rançon…

Une fois le chiffrement terminé, le rançongiciel affiche et lit d’une voix robotique (grâce au text-to-speech natif) un message sur l’ordinateur. Il prévient que le Mac est compromis, et incite à ouvrir un document « lisez-moi » plus détaillé.

Seulement 50 dollars de rançon ! ?

Dans leur note de rançon, les malfaiteurs exigent 50 dollars de la part de leur victime, à payer en bitcoin. Ils prennent même la peine de justifier ce coût par l’électricité, les ressources de calcul et les capacités de stockage qu’ils mobilisent pour le déchiffrement. Ce montant est largement en dessous des sommes habituellement demandées par les cybercriminels, qui sont généralement de l’ordre de plusieurs centaines d’euros pour les particuliers, et plusieurs centaines de milliers d’euros pour les entreprises. Les rançonneurs offrent même 72 heures à leurs victimes pour payer la modique somme.

Ce n’est pas le seul détail louche. La note manque d’information pourtant essentielle : un moyen de contacter les criminels. Sans ce moyen de contact, les malfaiteurs ne peuvent pas confirmer la réception du paiement, et ils ne peuvent pas savoir précisément qui ils ont contaminé. Il est donc fort probable que malgré les promesses des cybercriminels, les données ne soient pas déchiffrées dans les 5 heures après le paiement…

Le prix étonnamment bas de la rançon, l’usage d’une seule adresse pour les bitcoins et l’absence de moyen de contact ont poussé les chercheurs à creuser au-delà du rançongiciel pour trouver le véritable objectif des pirates.

La demande de rançon dissimule un vol de données

Les experts en cybersécurité et les journalistes du Bleeping Computer ont trouvé des commandes écrites en Python lancées depuis l’interface système malveillante. Ils ont analysé une de ces commandes et découvert qu’il s’agit d’un script destiné à exfiltrer les données. Plus précisément, il a pour rôle d’inspecter le dossier utilisateur à la recherche de 31 extensions différentes (.pdf, .jpg, .txt…). Il récupère ainsi un large éventail de fichiers : des documents Word, des images, des codes sources, des bases de données ou encore des porte-monnaie de cryptomonnaies.  Le script va ensuite les envoyer sur le serveur à distance des cybercriminels grâce à l’interface déployée par le rançongiciel.

Les malfaiteurs pourront revendre ces fichiers ou les utiliser eux-mêmes pour toutes sortes d’actes malveillants, de l’usurpation d’identité aux vols de mots de passe.  C’est pourquoi les victimes du malware devront considérer tous leurs documents comme compromis, et donc changer tous leurs identifiants, faire opposition sur leurs moyens de paiement, voire même refaire leurs documents d’identité s’ils sont concernés par le vol.

Les chercheurs ont intégré la détection de EvilQuest à leurs outils de références, mais ils n’ont pas encore trouvé de faiblesse dans le chiffrement des criminels qui permettrait de le casser.

Crédit photo de la une : Tobias Heine / Pixabay

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux