Pour gérer vos consentements :

Le ransomware KeRanger cadenasse les utilisateurs de Mac

Après différentes tentatives avortées, les cybercriminels auraient ils réussi à percer la cuirasse de Mac OS X pour y implanter un ransomware ? Un chercheur, Ryan Olson, de la société Palo Alto en est convaincu en annonçant hier la découverte de ce premier rançongiciel, nommé KeRanger, « fonctionnel, qui crypte les fichiers et demande une rançon » ciblant les Mac. Auparavant, des spécialistes avaient découvert des versions expérimentales de ransomwares pour Mac issues de souches existantes comme FileCoder et Mabouia.

Caché dans un client Torrent

KeRanger a besoin d’un cheval de Troie pour se diffuser sur les Mac. Ryan Olson l’a déniché dans une version récente du client Transmission BitTorrent (2.90). Le site du projet Open Source a été probablement compromis pour permettre le téléchargement du client infecté. Une fois téléchargé, KeRanger met 3 jours avant de chiffrer les données de l’utilisateur. Le spécialiste de Palo Alto indique que ceux qui ont téléchargé le client Torrent, le 4 mars dernier ont encore une chance de pouvoir supprimer le ransomware selon la méthode fournie sur le site de l’entreprise de sécurité.

En cas d’infection, plusieurs documents (300 extensions prises en charge) sont chiffrés (en AES) et la victime devra s’acquitter du versement de 1 bitcoin (310 euros) pour les retrouver. S’il est pleinement fonctionnel, KeRanger est encore en phase de développement. En analysant le code source du malware, Ryan Olson a trouvé quelques fonctions « _create_tcp_socket », « _execute_cmd » et « _encrypt_timemachine », qui vise à chiffrer les fichiers de sauvegarde Time Machine de Mac OS X. Pour l’instant, les utilisateurs infectés peuvent encore récupérer leurs données si elles ont été sauvegardées.

Certificat valide, Apple à la manoeuvre

KeRanger pose aussi un autre problème. Il utilise un certificat valide avec cependant un ID, « POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673) », bien différent de l’ID utilisé pour signer habituellement le client Transmission BitTorrent. Dans ses recherches, Ryan Olson a pu déterminer que cette signature a été générée le 4 mars au matin. Apple a été averti et a depuis révoqué le certificat en cause. De même, la firme de Cupertino a mis à jour Gatekeeper pour bloquer ces installations malveillantes, ainsi que XProtect.

Pour Ryan Olson, « il n’est pas surprenant que les ransomwares populaires sous Windows et les plateformes mobiles s’attaquent maintenant aux utilisateurs de Mac. Par contre, le fait que le malware soit distribué par une application légitime est nouveau et il faudra le prendre en compte pour l’avenir ».

A lire aussi :

Le ransomware Locky inonde la France, via de fausses factures Free Mobile

Ransomware : un hôpital US paye pour retrouver son réseau

Crédit Photo : GaudiLab-Shutterstock

Recent Posts

DevSecOps : Snyk plie mais ne rompt pas

Snyk rejoint la liste de licornes de la cybersécurité qui réduisent leurs effectifs pour affronter…

6 heures ago

Scribe : les enseignements à tirer de l’échec de ce projet d’État

Un seul logiciel pour la rédaction des procédures entre police et gendarmerie. C'était l'objectif du…

7 heures ago

HackerOne : quand un initié détourne le bug bounty

Un employé de HackerOne aurait exploité à des fins personnelles des rapports de sécurité soumis…

12 heures ago

Jean-Noël Barrot, nouveau ministre délégué chargé du numérique

Jean-Noël Barrot est nommé ministre délégué chargé de la Transition numérique et des Télécommunications du…

1 jour ago

Cloud : Microsoft peine à se convertir à sa « nouvelle expérience commerciale »

Microsoft concède de nouveaux reports dans la mise en place de la « nouvelle expérience…

1 jour ago

PC, tablettes et smartphones : la dégringolade qui s’annonce

Tensions géopolitiques, inflation et difficultés d'approvisionnement impactent à la baisse le marché des terminaux. En…

1 jour ago