Après différentes tentatives avortées, les cybercriminels auraient ils réussi à percer la cuirasse de Mac OS X pour y implanter un ransomware ? Un chercheur, Ryan Olson, de la société Palo Alto en est convaincu en annonçant hier la découverte de ce premier rançongiciel, nommé KeRanger, « fonctionnel, qui crypte les fichiers et demande une rançon » ciblant les Mac. Auparavant, des spécialistes avaient découvert des versions expérimentales de ransomwares pour Mac issues de souches existantes comme FileCoder et Mabouia.
KeRanger a besoin d’un cheval de Troie pour se diffuser sur les Mac. Ryan Olson l’a déniché dans une version récente du client Transmission BitTorrent (2.90). Le site du projet Open Source a été probablement compromis pour permettre le téléchargement du client infecté. Une fois téléchargé, KeRanger met 3 jours avant de chiffrer les données de l’utilisateur. Le spécialiste de Palo Alto indique que ceux qui ont téléchargé le client Torrent, le 4 mars dernier ont encore une chance de pouvoir supprimer le ransomware selon la méthode fournie sur le site de l’entreprise de sécurité.
En cas d’infection, plusieurs documents (300 extensions prises en charge) sont chiffrés (en AES) et la victime devra s’acquitter du versement de 1 bitcoin (310 euros) pour les retrouver. S’il est pleinement fonctionnel, KeRanger est encore en phase de développement. En analysant le code source du malware, Ryan Olson a trouvé quelques fonctions « _create_tcp_socket », « _execute_cmd » et « _encrypt_timemachine », qui vise à chiffrer les fichiers de sauvegarde Time Machine de Mac OS X. Pour l’instant, les utilisateurs infectés peuvent encore récupérer leurs données si elles ont été sauvegardées.
KeRanger pose aussi un autre problème. Il utilise un certificat valide avec cependant un ID, « POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673) », bien différent de l’ID utilisé pour signer habituellement le client Transmission BitTorrent. Dans ses recherches, Ryan Olson a pu déterminer que cette signature a été générée le 4 mars au matin. Apple a été averti et a depuis révoqué le certificat en cause. De même, la firme de Cupertino a mis à jour Gatekeeper pour bloquer ces installations malveillantes, ainsi que XProtect.
Pour Ryan Olson, « il n’est pas surprenant que les ransomwares populaires sous Windows et les plateformes mobiles s’attaquent maintenant aux utilisateurs de Mac. Par contre, le fait que le malware soit distribué par une application légitime est nouveau et il faudra le prendre en compte pour l’avenir ».
A lire aussi :
Le ransomware Locky inonde la France, via de fausses factures Free Mobile
Ransomware : un hôpital US paye pour retrouver son réseau
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…
Avec Phi-3-mini, Microsoft lance un SLM conçu pour attirer une clientèle disposant de ressources financières…
La Commission européenne serait sur le point d'approuver la proposition d'Apple visant à fournir à…
Le Premier ministre a précisé les usages de l'IA dans les services de l'administration et…
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…