Après différentes tentatives avortées, les cybercriminels auraient ils réussi à percer la cuirasse de Mac OS X pour y implanter un ransomware ? Un chercheur, Ryan Olson, de la société Palo Alto en est convaincu en annonçant hier la découverte de ce premier rançongiciel, nommé KeRanger, « fonctionnel, qui crypte les fichiers et demande une rançon » ciblant les Mac. Auparavant, des spécialistes avaient découvert des versions expérimentales de ransomwares pour Mac issues de souches existantes comme FileCoder et Mabouia.
KeRanger a besoin d’un cheval de Troie pour se diffuser sur les Mac. Ryan Olson l’a déniché dans une version récente du client Transmission BitTorrent (2.90). Le site du projet Open Source a été probablement compromis pour permettre le téléchargement du client infecté. Une fois téléchargé, KeRanger met 3 jours avant de chiffrer les données de l’utilisateur. Le spécialiste de Palo Alto indique que ceux qui ont téléchargé le client Torrent, le 4 mars dernier ont encore une chance de pouvoir supprimer le ransomware selon la méthode fournie sur le site de l’entreprise de sécurité.
En cas d’infection, plusieurs documents (300 extensions prises en charge) sont chiffrés (en AES) et la victime devra s’acquitter du versement de 1 bitcoin (310 euros) pour les retrouver. S’il est pleinement fonctionnel, KeRanger est encore en phase de développement. En analysant le code source du malware, Ryan Olson a trouvé quelques fonctions « _create_tcp_socket », « _execute_cmd » et « _encrypt_timemachine », qui vise à chiffrer les fichiers de sauvegarde Time Machine de Mac OS X. Pour l’instant, les utilisateurs infectés peuvent encore récupérer leurs données si elles ont été sauvegardées.
KeRanger pose aussi un autre problème. Il utilise un certificat valide avec cependant un ID, « POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673) », bien différent de l’ID utilisé pour signer habituellement le client Transmission BitTorrent. Dans ses recherches, Ryan Olson a pu déterminer que cette signature a été générée le 4 mars au matin. Apple a été averti et a depuis révoqué le certificat en cause. De même, la firme de Cupertino a mis à jour Gatekeeper pour bloquer ces installations malveillantes, ainsi que XProtect.
Pour Ryan Olson, « il n’est pas surprenant que les ransomwares populaires sous Windows et les plateformes mobiles s’attaquent maintenant aux utilisateurs de Mac. Par contre, le fait que le malware soit distribué par une application légitime est nouveau et il faudra le prendre en compte pour l’avenir ».
A lire aussi :
Le ransomware Locky inonde la France, via de fausses factures Free Mobile
Ransomware : un hôpital US paye pour retrouver son réseau
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.
Elon Musk avait racheté le nom de domaine X.com à PayPal en 2017. Depuis juillet 2023,…
Des centaines d'ingénieurs en IA et cloud travaillant pour Microsoft se voient proposer de quitter…
Reddit s'ajoute à la liste des « partenaires data » d'OpenAI. Qui rejoint-il ?
Younited a utilisé PaLM 2 puis Gemini pour catégoriser des transactions bancaires en vue de…
Les États-Unis vont tripler leur capacité nationale de fabrication de puces et contrôler 30 %…