Un nouvel essuyeur de données et voleur d’informations appelé EvilQuest utilise un ransomware comme leurre pour voler des fichiers aux utilisateurs de macOS. Les victimes sont infectées après avoir téléchargé des programmes d’installation trojanisés d’applications populaires à partir de trackers torrent.

Bien qu’il ne soit pas courant, les ransomwares étaient connus pour cibler la plate-forme macOS dans le passé, KeRanger, FileCoder (alias Findzip) et Patcher étant trois autres exemples de logiciels malveillants conçus pour crypter les systèmes Mac.

EvilQuest a été repéré pour la première fois par le chercheur de logiciels malveillants de K7 Lab, Dinesh Devadoss, et analysé par le directeur de Malwarebytes pour Mac et mobile Thomas Reed, le chercheur principal en sécurité de Jamf, Patrick Wardle, et Lawrence Abrams de BleepingComputer, qui a trouvé une tournure intéressante.

Installe un enregistreur de frappe et ouvre un shell inversé

Devadoss a découvert qu’EvilQuest inclut la capacité de vérifier s’il fonctionne sur une machine virtuelle (plus une vérification de sandbox selon Wardle), et il dispose de capacités anti-débogage.

Il vérifie également certains outils de sécurité communs (Little Snitch) et solutions anti-programme malveillant (Kaspersky, Norton, Avast, DrWeb, Mcaffee, Bitdefender et Bullguard) et ouvre un shell inversé utilisé pour la communication avec son serveur de commande et de contrôle (C2) comme l’a trouvé Felix Seele, responsable technique de VMRay.

Le malware se connectera à http: //andrewka6.pythonanywhere[.]com / ret.txt pour obtenir l’adresse IP du serveur C2 pour télécharger d’autres fichiers et envoyer des données.

« Armé de ces capacités, l’attaquant peut garder le contrôle total sur un hôte infecté », a déclaré Wardle.

Application piratée infectée par le rançongiciel EvilQuest promue sur RUTracker
Application piratée infectée par le rançongiciel EvilQuest promue sur RUTracker (Malwarebytes)

Distribué en tant qu’applications piratées sur des sites torrent

Comme Reed l’a découvert après avoir examiné le ransomware, EvilQuest est abandonné à l’aide d’installateurs infectés enveloppant des logiciels légitimes, y compris mais sans s’y limiter, Little Snitch, Ableton et Mixed in Key.

Infos WEB:  Le logiciel malveillant hybride «Lucifer» inclut le cryptage, les capacités DDoS

Même si les programmes d’installation malveillants de .PKG téléchargés à partir de …

Voir la source de cette publication