Le rançongiciel EvilQuest a des capacités de keylogger

Une nouvelle souche rare de rançongiciel ciblant les utilisateurs de macOS a été découverte, elle a été nommée EvilQuest. Les chercheurs affirment que le rançongiciel est distribué via diverses versions de logiciels piratés.

EvilQuest, découvert pour la première fois par le chercheur en sécurité Dinesh Devadoss, va au-delà des capacités de chiffrement normales des rançongiciels ordinaires, y compris la possibilité de déployer un enregistreur de frappe (pour surveiller ce qui est tapé dans les appareils) et la capacité de voler des portefeuilles de crypto-monnaie sur le systèmes des victimes.

Des exemples d’EvilQuest ont été trouvés dans diverses versions de logiciels piratés, qui sont partagés sur des sites de partage de fichiers BitTorrent. Bien que cette méthode d’infection soit relativement peu sophistiquée, elle est courante pour d’autres variantes de logiciels malveillants macOS – y compris OSX.Shlayer – «indiquant ainsi qu’elle réussit (au moins à un certain niveau)», selon Patrick Wardle, chercheur en sécurité chez Jamf, dans une analyse.

Alors que Devadoss a découvert que le rançongiciel prétendait être un package de mise à jour logicielle Google, Wardle a inspecté un échantillon de rançongiciel distribué via une version piratée de «Mixed In Key 8», un logiciel qui aide les DJ à mixer leurs chansons.

dridex 5ss5c

Un autre échantillon a été analysé par Thomas Reed, de Malwarebytes, dans une version malveillante et piratée de Little Snitch. Little Snitch est un pare-feu hôte d’application légitime pour macOS. Le programme d’installation malveillant était disponible au téléchargement sur un forum russe, dédié au partage de liens torrent.

«Le programme d’installation légitime de Little Snitch est emballé de manière attrayante et professionnelle, avec un programme d’installation personnalisé bien conçu qui est correctement signé», a déclaré Reed. «Cependant, ce programme d’installation était un simple package d’installation Apple avec une icône générique. Pire encore, le package d’installation a été inutilement distribué dans un fichier image disque. »

Une fois qu’une victime télécharge ces diverses applications malveillantes, elle installe un fichier exécutable, nommé «patch», dans le répertoire «/Users/Shared/». Une fois le processus d’installation terminé, un script de post-installation est ensuite téléchargé et utilisé pour charger et déclencher l’exécutable. Le ransomware commence alors à chiffrer les fichiers des victimes en appelant la fonction «eip_encrypt». Une fois le chiffrement du fichier terminé, il crée un fichier texte (READ_ME_NOW) avec les instructions de rançon (la rançon pour les échantillons trouvés était de 50$).

EvilQuest

Fait intéressant, pour s’assurer que les victimes voient la note de rançon, le rançongiciel affiche une fenêtre de synthèse vocale, qui lit la note de rançon à voix haute à la victime via les capacités de «voix» intégrées de macOS.

Reed a découvert que «le malware… semblait chiffrer un certain nombre de fichiers de paramètres et d’autres fichiers de données, tels que les fichiers de chaine de clé. Cela a généré un message d’erreur lors de la connexion, après le chiffrement. »

Le rançongiciel a également des capacités pour l’exécution de code en mémoire, l’anti-analyse et la persistance, ont découvert les chercheurs. Dans le cadre de ses mesures anti-analyse, EvilQuest inclut les fonctions «is_debugging» et «is_virtual_mchn». Ces fonctionnalités tentent de contrecarrer les efforts de débogage, ainsi que de détecter si elle est exécutée à l’intérieur d’une machine virtuelle (les deux indications qu’un chercheur de logiciels malveillants pourrait tenter de l’analyser).

Le logiciel malveillant a entre-temps été repéré en train d’appeler CGEventTapCreate, une routine système qui permet de surveiller des événements tels que les frappes au clavier, et est couramment utilisée par les logiciels malveillants pour l’enregistrement de frappe. Les chercheurs ont trouvé des tâches du serveur de commande et de contrôle (C2) du rançongiciel, l’incitant à démarrer un keylogger.

Le rançongiciel EvilQuest a également la capacité de détecter plusieurs fichiers de portefeuille de crypto-monnaie, avec des commandes pour rechercher les fichiers spécifiques suivants: «wallet.pdf», «wallet.png», «key.png» et «*.p12».

Wardle a déclaré que le malware EvilQuest peut entre-temps ouvrir un shell inversé sur le serveur C2. «Armé de ces capacités, l’attaquant peut totalement contrôler un hôte infecté», a-t-il averti.

EvilQuest fait son petit trou

EvilQuest rejoint une petite liste de familles de rançongiciels ciblant spécifiquement les utilisateurs de Mac, notamment KeRanger et MacRansom. Cependant, «il reste encore un certain nombre de questions dont les réponses viendront par une analyse plus approfondie», a déclaré Reed. «Par exemple, quel type de chiffrement ce malware utilise-t-il? Est-il sécurisé ou sera-t-il facile à craquer (comme dans le cas du déchiffrage de fichiers chiffrés par le rançongiciel FindZip)? Sera-t-il réversible ou la clé de chiffrement n’a-t-elle jamais été communiquée aux criminels responsables de sa distribution (comme FindZip)? »

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x