« EvilQuest » : les utilisateurs de macOS confrontés à un nouveau ransomware

Les chercheurs ont trouvé des traces de ransomware nommé EvilQuest , qui cible exclusivement les machines basées sur macOS fabriquées par Apple. Le malware de cryptage s'avère être une souche unique différente des précédentes attaques de malware sur macOS ou tout autre système d'exploitation. Voici tout ce que vous devez savoir à ce sujet :

Qu'est-ce qu'EvilQuest ?

EvilQuest ou OSX.EvilQuest est une souche de ransomware qui est attachée aux applications macOS pirates. Le ransomware menace la commande des utilisateurs sur leur PC ainsi que l'accès aux fichiers et dossiers. EvilQuest est installé sur le Mac avec l'application pirate qui l'accompagne, puis crypte les fichiers et dossiers des victimes, empêchant l'accès et l'utilisation. 

La nouvelle souche de ransomware a un cran de plus, ce qui la rend encore plus dangereuse. Les chercheurs ont découvert qu'EvilQuest installe un enregistreur de frappe sur le système, ce qui permet à l'attaquant de suivre et d'enregistrer les commandes clavier frappées par l'utilisateur. De plus, la souche installera également une coque inversée. Un reverse shell établira une connexion à distance du PC de la victime avec la machine distante de l'attaquant, lui donnant ainsi un contrôle total sur votre PC.

Par conséquent, même si vous avez payé la rançon, la victime peut continuer à accéder à vos fichiers et garder une trace des touches du clavier frappées, ayant ainsi pleine autorité sur l'ordinateur infecté.

Lire la suite : Décrypter les fichiers affectés par Ransomware à l'aide de ces outils

Comment EvilQuest a-t-il été découvert ?

EvilQuest a été découvert dans plusieurs progiciels et programmes d'installation, ce qui rend un peu difficile la recherche de la première attaque. Mais on pense que la souche de ransomware est distribuée depuis plus d'un mois avant sa découverte.

Source de l'image : ZDNet

L'une des premières sources d'attaques est liée à la version pirate d'une application appelée Little Snitch. C'est une application de pare-feu conçue pour les utilisateurs de macOS en leur offrant une protection réseau. L'application elle-même est très appréciée, mais lorsque vous optez pour une version pirate, il existe des risques que vous ne pouvez pas prévoir. 

La souche est jointe en tant que fichier d'installation PKG avec le progiciel piraté Little Snitch. Le fichier PKG est associé à un "script de post-installation" qui contient le malware présumé. Lors de l'installation, le script est ensuite copié dans un emplacement sur votre Mac - /Library/LittleSnitch/CrashReporter . Et puis quelque temps plus tard, le code malveillant s'active et démarre le cryptage des fichiers système. 

Lire la suite : Comment le ransomware affecte-t-il votre système ?

EvilQuest prospère grâce au torrent

La souche de ransomware EvilQuest prospère totalement grâce au torrent. Les utilisateurs téléchargent souvent des packages logiciels et des applications via des magasins d'applications tiers et des portails en ligne et des liens torrent pour obtenir une version premium gratuite sans acheter réellement le logiciel. EvilQuest se trouve principalement attaché à de tels liens pour des progiciels comme celui de Little Snitch.

Le torrent est toujours risqué, mais les utilisateurs ont tendance à esquiver ces risques en utilisant un service VPN . Cependant, lorsqu'une menace de ransomware est associée, aucun VPN ne peut aider dans ce scénario. Il est recommandé de ne pas utiliser de versions pirates de ces logiciels sur Mac ou tout autre système d'exploitation. 

Comment EvilQuest fonctionne ?

Voici un résumé de la façon dont EvilQuest prend le contrôle de votre Mac si vous êtes attaqué :

– Lors de l'installation et de l'activation du code malveillant, les fichiers et dossiers du Mac des victimes sont cryptés, suivis d'un avertissement concernant le cryptage.

– L'utilisateur est alors dirigé vers une demande de rançon sur le bureau, tout comme celle de l'image ci-dessous :

– Un enregistreur de frappe est installé, ce qui donne à l'attaquant un accès de suivi pour enregistrer toutes les frappes.

– Un reverse shell accorde alors à l'attaquant une connexion avec le Mac infecté ainsi que le droit d'exécuter des commandes personnalisées.

– La souche de ransomware recherche explicitement les fichiers associés à toutes les applications de portefeuille de crypto-monnaie telles que - wallet.png, wallet.pdg, etc., ce qui entrave la sécurité de vos portefeuilles crypto .

Quels fichiers sont susceptibles d'être menacés associés à EvilQuest ?

Voici une liste des extensions de fichiers cryptées par Evil Quest : 

.pdf 

.doc

.jpg

.SMS

.pages

.pem

.cer

.crt

.php

.py

.h

.m

.hpp

.cpp

.cs

.PL

.p

.p3

.html

.webarchive

.Zip *: français

.xsl

.xslx

.docx

.ppt

.pptx

.keynote

.js

.sqlite3

.portefeuille

.dat

Utilisez un logiciel de sécurité fiable pour Mac pour garantir une confidentialité et une protection de premier ordre

Pour vous assurer que votre Mac est exempt de tout malware ou menace pour la confidentialité, vous pouvez utiliser une suite de protection Mac efficace appelée  Kaspersky Total Security . Il s'agit d'un logiciel de sécurité incroyable conçu pour garantir que votre Mac est protégé contre toutes sortes de vulnérabilités et de menaces. L'application se compose de modules intégrés pour exécuter des analyses automatiques et détecter les traces de logiciels malveillants ainsi que les traces mettant en péril la confidentialité des utilisateurs sur votre Mac.

En ce qui concerne l'interface graphique, Kaspersky propose un tableau de bord convivial et intuitif, afin que les novices comme les utilisateurs expérimentés puissent utiliser le logiciel sans effort. La fenêtre principale contient toutes les fonctionnalités correctement classées afin que vous puissiez utiliser des outils tels que la sauvegarde, le contrôle parental, etc.

Voici les principaux points forts de l'utilisation de Kaspersky Total Security for Mac : 

• Fournit une excellente protection contre les logiciels malveillants.
• Livré avec un gestionnaire de mots de passe de premier ordre.
• Possède des fonctionnalités de contrôle parental.
• Possède une toute nouvelle fonctionnalité de protection contre les stalkerwares.
• Utilise uniquement des ressources système légères à modérées.
• Fournit une fonction de mode de jeu dédiée.
• Livré avec une fonction de cryptage de fichiers.
• Venez avec la fonctionnalité antivol.
• Dispose d'une fonction de déchiquetage de fichiers dédiée pour supprimer définitivement les fichiers.

Si vous utilisez un autre logiciel de sécurité et de protection pour Mac, faites-nous part de vos suggestions dans la section commentaires ci-dessous. N'oubliez pas non plus de partager votre expérience si vous avez été la cible de la souche EvilQuest ou OSX.EvilQuest Ransomware.

Consultez la liste des articles pertinents :