Beaucoup moins répandus que sur les PC, les ransomwares peuvent aussi empoisonner la vie des utilisateurs Mac. Cela a notamment été le cas en 2017 lorsque des chercheurs d'Eset ont publié une alerte relative au rançongiciel OSX/Filecoder.E. Le dernier en date, OSX.EvilQuest, a été découvert par le chercheur en sécurité de K7 Computing Dinesh Devadoss et analysé par Malwarebytes et Objective-See. On le retrouve sur des forums en ligne ainsi que dans des sites torrent. Raison de plus de faire attention au téléchargement de fichiers piratés. Encapsulé dans des installeurs vérolés de programmes connus des utilisateurs de Mac (le logiciel de DJ Mixed In Key, de production et de création Ableton Live, le pare-feux Little Snitch...), ce ransomware est loin d'être détecté automatiquement par les logiciels anti-virus.
« Le programme d'installation contenait également un script de post-installation - un script shell qui est exécuté une fois le processus d'installation terminé. Il est normal que ce type de programme d'installation contienne des scripts de préinstallation et/ou de postinstallation, pour la préparation et le nettoyage, mais dans ce cas, le script a été utilisé pour charger le logiciel malveillant puis lancer le programme d'installation légitime de Little Snitch », a expliqué le chercheur en sécurité Thomas Reed chez Malwarebytes. Et Patrick Wardle, expert cybersécurité et fondateur d'Objective-See d'indiquer : « Comme le programme d'installation demande des privilèges root pendant l'installation, ce script (et donc le binaire toolroomd) s'exécutera également avec les privilèges root ».
Des protections intégrées contre les analyses anti-malware
Une fois activé, le ransomware commence alors son travail de chiffrement des fichiers sur le Mac infecté : « Le malware installé via le programme d'installation de Mixed In Key était également réticent à commencer à crypter des fichiers pour moi. Je l'ai laissé tourner sur une vraie machine pendant un certain temps sans résultat, puis j'ai commencé à jouer avec l'horloge système. Après l'avoir mis trois jours à l'avance, déconnecté du réseau et redémarré l'ordinateur plusieurs fois, il a finalement commencé à crypter les fichiers », fait savoir Thomas Reed. Tout type de fichiers, y compris keychain débouchant sur des problèmes d'identification système, la remise à zéro de l'apparence des éléments dans le Dock...
Pour se protéger des analyses anti-malware, OSX.EvilQuest embarque des fonctions de débogueur au niveau processus (is_debugging) mais aussi exécutable dans une machine virtuelle (is_virtual_mchn). En plus de cela, un keylogger est également présent (CGEventTapCreate) et ce rançongiciel est en mesure d'ouvrir un reverse shell vers un serveur de commande et de contrôle et aussi de détecter - sans doute d'exfiltrer - des portemonnaies de monnaie virtuelle (wallet.pdf, wallet.png, key.png, .p12...).
De l'importance de la sauvegarde
« Si vos fichiers sont cryptés, on ne peut pas savoir à quel point la situation peut être désastreuse. Cela dépend du cryptage et de la façon dont les clés sont traitées. Il est possible que des recherches supplémentaires conduisent à une méthode de décryptage des fichiers, et il est également possible que cela ne se produise pas. La meilleure façon d'éviter les conséquences des ransomwares est de maintenir un bon ensemble de sauvegardes. Conservez au moins deux copies de sauvegarde de toutes les données importantes, et au moins une ne doit pas être attachée à votre Mac à tout moment. Le ransomware peut essayer de chiffrer ou d'endommager les sauvegardes sur les disques connectés », prévient Thomas Reed.