Les chercheurs de la société de sécurité des points d’extrémité SentinelOne ont créé un outil qui permet aux utilisateurs de récupérer des fichiers chiffrés par le logiciel malveillant Mac nommé ThiefQuest, qui se présente comme un rançongiciel.

ThiefQuest, initialement nommé EvilQuest, est conçu pour crypter des fichiers sur des systèmes compromis, mais permet également à ses opérateurs de consigner les frappes, de voler des fichiers et de prendre le contrôle total du périphérique infecté.

ThiefQuest a été initialement classé comme rançongiciel, mais une analyse plus approfondie a révélé qu’il n’y avait aucun moyen pour les attaquants de savoir quelles victimes avaient payé la rançon, ce qui a conduit les chercheurs à croire que les fonctionnalités du rançongiciel étaient censées masquer les activités de vol de données.

ThiefQuest est fourni en tant qu’installateurs de Troie pour les applications macOS telles que les applications DJ Ableton et Mixed in Key et le pare-feu Little Snitch. Une fois le malware installé, il commence à crypter les fichiers trouvés sur l’appareil, après quoi il informe les victimes, via des fichiers texte et une fenêtre modale, que leurs fichiers ont été cryptés et qu’une rançon de 50 $ doit être payée en bitcoin pour les récupérer.

Cependant, comme l’a souligné Bleeping Computer, la même adresse bitcoin est fournie à toutes les victimes et il n’y a aucun moyen pour les victimes de contacter les agresseurs pour leur faire savoir que la rançon a été payée.

De plus, l’expert en sécurité d’Apple Patrick Wardle a remarqué que la routine de décryptage n’est appelée nulle part dans le code du logiciel malveillant, ce qui indique qu’elle n’est jamais exécutée. Les chercheurs de Malwarebytes ont souligné que le malware ne chiffrait pas toujours les fichiers, même s’il affirmait l’avoir fait, ce qui indique en outre que les capacités des ransomwares ne sont qu’une distraction.

Pour les utilisateurs Mac dont les fichiers ont été cryptés par le malware, SentinelOne a publié un outil de décryptage gratuit. Les chercheurs de l’entreprise ont analysé ThiefQuest et ont remarqué que son développeur avait laissé la fonction de décryptage dans le code du malware. Une fois qu’ils …

Voir la source de cette publication