Le ransomware KeRanger cadenasse les utilisateurs de Mac

Palo Alto a découvert le premier ransomware fonctionnel qui touche spécifiquement les utilisateurs de Mac OS X.

Après différentes tentatives avortées, les cybercriminels auraient ils réussi à percer la cuirasse de Mac OS X pour y implanter un ransomware ? Un chercheur, Ryan Olson, de la société Palo Alto en est convaincu en annonçant hier la découverte de ce premier rançongiciel, nommé KeRanger, « fonctionnel, qui crypte les fichiers et demande une rançon » ciblant les Mac. Auparavant, des spécialistes avaient découvert des versions expérimentales de ransomwares pour Mac issues de souches existantes comme FileCoder et Mabouia.

Caché dans un client Torrent

KeRanger a besoin d’un cheval de Troie pour se diffuser sur les Mac. Ryan Olson l’a déniché dans une version récente du client Transmission BitTorrent (2.90). Le site du projet Open Source a été probablement compromis pour permettre le téléchargement du client infecté. Une fois téléchargé, KeRanger met 3 jours avant de chiffrer les données de l’utilisateur. Le spécialiste de Palo Alto indique que ceux qui ont téléchargé le client Torrent, le 4 mars dernier ont encore une chance de pouvoir supprimer le ransomware selon la méthode fournie sur le site de l’entreprise de sécurité.

En cas d’infection, plusieurs documents (300 extensions prises en charge) sont chiffrés (en AES) et la victime devra s’acquitter du versement de 1 bitcoin (310 euros) pour les retrouver. S’il est pleinement fonctionnel, KeRanger est encore en phase de développement. En analysant le code source du malware, Ryan Olson a trouvé quelques fonctions « _create_tcp_socket », « _execute_cmd » et « _encrypt_timemachine », qui vise à chiffrer les fichiers de sauvegarde Time Machine de Mac OS X. Pour l’instant, les utilisateurs infectés peuvent encore récupérer leurs données si elles ont été sauvegardées.

Certificat valide, Apple à la manoeuvre

KeRanger pose aussi un autre problème. Il utilise un certificat valide avec cependant un ID, « POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673) », bien différent de l’ID utilisé pour signer habituellement le client Transmission BitTorrent. Dans ses recherches, Ryan Olson a pu déterminer que cette signature a été générée le 4 mars au matin. Apple a été averti et a depuis révoqué le certificat en cause. De même, la firme de Cupertino a mis à jour Gatekeeper pour bloquer ces installations malveillantes, ainsi que XProtect.

Pour Ryan Olson, « il n’est pas surprenant que les ransomwares populaires sous Windows et les plateformes mobiles s’attaquent maintenant aux utilisateurs de Mac. Par contre, le fait que le malware soit distribué par une application légitime est nouveau et il faudra le prendre en compte pour l’avenir ».

A lire aussi :

Le ransomware Locky inonde la France, via de fausses factures Free Mobile

Ransomware : un hôpital US paye pour retrouver son réseau

Crédit Photo : GaudiLab-Shutterstock