[MAJ] EvilQuest : Un nouveau ransomware caché dans des applications piratées s’invite sur Mac

Publié le

EvilQuest est le nouveau logiciel malveillant qui cible macOS. Contrairement aux idées reçues, le système d’exploitation d’Apple reste vulnérable aux malware. Repéré par un chercheur de la société de cybersécurité K7 Lab et analysé par Malwarebytes, ce logiciel malveillant est d’autant plus dangereux qu’il est présent dans de nombreuses applications macOS téléchargeables sur des portails de Torrent.

Un ransomware dissimulé dans des applications piratées

EvilQuest a infecté de nombreux utilisateurs Mac. Malwarebytes qui a pu analyser le comportement du logiciel explique qu’il se retrouve dans des installeurs d’applications piratées téléchargées sur des sites de Torrent. Dans son exemple, Malwarebytes cite l’application Little Snitch, un outil très populaire, mais payant qui permet d’ajuster les paramètres de pare-feu de macOS. Des versions piratées de Little Snitch permettant d’accéder illégalement aux fonctionnalités payantes de l’outil sont régulièrement publiées sur des forums ou sites P2P.

Little snitch installer Ru tracker
Little Snitch proposé sur un site Russe – Crédits : Malwarebytes

Dans son rapport, Malwarebytes détaille le fonctionnement d’EvilQuest. L’installeur de Little Snitch qui semble inoffensif à première vue contient en réalité un script malveillant. Ce dernier va installer EvilQuest en faisant croire à une erreur d’installation de Little Snitch. Le script malveillant imite un script de préinstallation/postinstallation. la présence d’un tel script dans un installeur est courante.

Crédits: Malwarebytes

En temps normal, il permet de procéder au nettoyage de l’installeur ou à préparer l’installation d’un logiciel. Selon Malwarebytes, EvilQuest est également distribué dans des installeurs modifiés d’Ableton Live ou de Mixed In Key 8.

L’autre information à retenir, c’est qu’EvilQuest ne lance pas toujours le chiffrement des données de la victime juste après son installation. Les chercheurs en sécurité expliquent que l’activation du ransomware peut nécessiter le redémarrage de la machine et une déconnexion au réseau. Une fois activé, le chiffrement des fichiers de l’utilisateur débute.

Evilquest chiffrement
Crédits : Malwarebytes

Une rançon est ensuite présentée à l’utilisateur, comme le montre l’image suivante :

Ransom Evilquest
Crédits : Malwarebytes

Un ransomware polyvalent

Le chercheur en sécurité Dinesh Devadoss de K7 Lab a mis en lumière la polyvalence d’EvilQuest. Ce dernier serait capable de vérifier s’il est lancé dans une machine virtuelle pour compliquer la tâche des chercheurs qui souhaiterait l’étudier dans un environnement sécurisé.

Le logiciel malveillant est également en mesure de vérifier la présence d’outils de sécurité tels que Little Snitch, Kaspersky, Norton, Avast, ou encore Bitdefender. Il lancera alors le téléchargement d’autres fichiers malveillants qui permettront à l’attaquant de prendre le contrôle sur la machine de la victime.

Que faire contre ce ransomware ?

Un outil de déchiffrement a été développé par Sentinel Labs, une société spécialisée en sécurité. L’outil EvilQuest Decryptor est proposé gratuitement et se lance directement dans Terminal, l’invite de commande de macOS.

Si vous avez été victime de ce logiciel malveillant, vous pouvez tenter de récupérer vos fichiers en suivant les indications du tutoriel proposé par Sentinel Labs.

Précisons encore qu’il n’y a aucune certitude sur le fait que l’attaquant derrière ce ransomware vous fournisse une clé de déchiffrement après le paiement de la rançon.

EvilQuest étant distribué par le biais d’installeurs d’application piratées, nous vous recommandons de ne pas télécharger ce type d’applications. Malwarebytes explique que son outil de sécurité pour Mac est en mesure de bloquer le ransomware avant qu’il ne débute le chiffrement des données. Il en est de même pour l’outil gratuit RansomWhere ? . Ces deux logiciels sont téléchargeables sur Logitheque.

Source : Malwarebytes, K7 Lab, Bleeping Computer

80% de réduction sur Norton Security Guard!

à partir de 24.99 € au lieu de 119.99 € TTC (2 ans)

  • Protection complète de l’ordinateur
  • Protection de la vie privée
  • Mises à jour régulières
  • 175 Millions d’utilisateurs actifs!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet