Les utilisateurs de Mac sont exposés à un nouveau ransomware appelé « EvilQuest » qui crypte les fichiers et cause de nombreux problèmes au système d’exploitation. Malwarebytes a analysé les ransomwares, qui sont distribués via des applications piratées pour macOS.
Le code malveillant a d’abord été trouvé dans une copie piratée de l’application Little Snitch disponible sur un forum russe avec des liens torrent. L’application téléchargée est fournie avec un fichier d’installation PKG, contrairement à la version d’origine.
En examinant ce fichier PKG, Malwarebytes a constaté que l’application est livrée avec un « script de post-installation », qui est généralement utilisé pour nettoyer l’installation à la fin du processus. Dans ce cas, cependant, le script implémente un malware sur macOS. Le fichier de script est copié dans un dossier lié à l’application Little Snitch avec le nom CrashReporter, de sorte que l’utilisateur ne le remarquera pas en cours d’exécution dans Activity Monitor car macOS a une application interne avec un nom similaire. L’emplacement défini est : /Library/LittleSnitchd/CrashReporter.
Malwarebytes note qu’il faut un certain temps pour que le ransomware commence à fonctionner après l’installation. De fait, l’utilisateur ne l’associera probablement pas à la dernière application installée. Une fois activé, le code malveillant modifie les fichiers système et utilisateur avec un cryptage inconnu.
Pour cette raison, le Finder ne fonctionne plus correctement et le système se bloque constamment. Le trousseau du système est également endommagé, il est donc impossible d’accéder aux mots de passe et certificats enregistrés sur le Mac. Un message à l’écran indique que l’utilisateur doit payer 50 $ pour récupérer ses fichiers, sinon tout sera supprimé au bout de trois jours.
Pour le moment, le seul moyen de se débarrasser du malware après avoir chiffré les fichiers est de formater l’intégralité du disque. Il est donc recommandé de toujours avoir une sauvegarde à jour de vos données et d’installer un antivirus.
Bien que le ransomware « EvilQuest » ne soit inclus que dans les applications piratées pour le moment, Apple doit corriger ce problème de sécurité le plus rapidement possible. De plus, ce code malveillant peut également être inclus dans des applications distribuées en dehors du Mac App Store.
