Attention à ThiefQuest, le nouveau virus Mac qui ne fait pas de quartier

Attention à ThiefQuest, le nouveau virus Mac qui ne fait pas de quartier

Même s’ils sont moins ciblés que sur Windows, les utilisateurs Mac doivent aussi lutter contre leurs propres virus et autres logiciels malveillants. Si vous le laissez s’installer sur votre machine, le nouveau virus « ThiefQuest » ne vous laissera aucun répit.


Image : surfez-couverts.com

Si vous pensez qu’il est pas nécessaire d’installer un antivirus sur un Mac, vous vivez dans une époque révolue. La majorité des virus cible Windows car c’est le système d’exploitation le plus répandu dans le monde, par conséquent le plus « rentable » à attaquer. Mais il existe aujourd’hui des virus pour tous les systèmes (Android, iOS, Linux, macOS). Le virus qui nous intéresse aujourd’hui se nomme ThiefQuest (aussi appelé EvilQuest). C’est un ransomware destiné à macOS.

Un ransom-quoi ?

Une fois installé sur votre ordinateur, le principe de fonctionnement d’un ransomware (Rançongiciel en bon français) est de chiffrer vos données pour les rendre illisibles. Ainsi vous perdez l’accès à vos précieux documents, photos de famille, etc.
Le ransomware demande alors d’envoyer de l’argent pour libérer les données, autrement dit : payer la rançon. Le moyen de paiement demandé sera souvent d’utiliser une crypto-monnaie, pour préserver l’anonymat du bénéficiaire. Dans le cas de ThiefQuest, il vous sera demandé 50 $ (ou 44 €) à régler en 72 heures maximum.
Une fois la rançon payée, la clé vous sera (peut-être) envoyée pour récupérer l’accès à vos données. Mais rien ne vous le garantit, sauf éventuellement la réputation du ransomware en question.

Le message de ThiefQuest informant les victimes.

Il est en effet intéressant pour les « pirates » de rendre les données prises en otage afin d’acquérir la réputation d’avoir créé un virus « réglo ». Je sais… on marche sur la tête, mais c’est assez logique : si tout le monde sait que vous, pirate, ne rendez pas les données, alors personne ne voudra vous payer.

Principe d’un ransomware (image : iStock).

Ransomware oui, mais pas seulement

D’après le chercheur en sécurité Dinesh Devados (K7 Lab), ThiefQuest ne serait pas qu’un banal rançongiciel. Le programme serait également capable de récupérer certains de vos fichiers pour les envoyer sur Internet. Il pourrait aussi installer un keylogger (app invisible qui enregistre la frappe sur le clavier pour la récupérer) afin d’enregistrer vos mots de passe ou informations bancaires par exemple.

Comment se protéger ?

Pour éviter le transfert d’un fichier ou de vos données tapées au clavier comme nous venons de le voir, le plus évident sera d’utiliser un pare-feu bloquant toute connexion sortante non validée. Voir l’article Le pare-feu : gardien de votre ordinateur.

Pour éviter tout simplement « d’attraper » ce virus, il n’y a pas de solution miracle. Il faut appliquer les bonnes pratiques de sécurité informatique décrites partout dans ce blog et à minima utiliser un antivirus à jour. Ce n’est pas très précis mais rassurez-vous je ne vais pas vous laisser là-dessus.

Le principal moyen de transmission de ce virus se fait via des « torrents », servant à échanger des fichiers en pair à pair (peer to peer) via le protocole BitTorrent. Ces fichiers torrents sont souvent (mais pas uniquement) utilisés pour partager illégalement des films, jeux-vidéos, logiciel… piratés.

Le téléchargement de torrents présente certains risques (image : intego.com)

En effet, ce virus a été d’abord repéré sur une version piratée de Little Snitch. J’en parlais justement dans l’article Protéger son Mac avec le pare-feu Little Snitch en vous conseillant comme d’habitude, de l’acheter plutôt que d’utiliser une version pirate. J’espère que vous m’avez écouté, sinon… c’est le karma 🙂
Il a aussi été repéré dans des logiciels dédiés aux musiciens, comme Mixed in Key ou Ableton. Si vous avez téléchargé illégalement l’un de ces logiciels, faites très attention aux mises à jour Google. Cela peut paraître bizarre de prime abord, mais ThiefQuest cherche à s’installer sur votre Mac en restant discret. Il copie donc l’interface de mise à jour de Google pour s’installer sans trop attirer l’attention.
Si vous suivez mes conseils et utilisez peu (ou pas) de produits Google (bravo), une telle mise à jour vous aurait mis la puce à l’oreille. En attendant, ce ransomware n’a pas encore beaucoup circulé… et maintenant vous êtes prévenu.

Rien ne vaut un bon backup

Enfin, une bonne option pour se prémunir des effets des ransomware en général est de faire régulièrement des sauvegardes de votre ordinateur, ou au moins des données importantes. Ces sauvegardes ne doivent pas se trouver dans l’ordinateur lui-même, ce qui n’aurait aucun intérêt car le virus les ciblerait aussi. Un disque dur externe est une bonne solution, s’il ne reste pas branché en permanence. Voilà une raison de plus d’avoir une bonne stratégie de sauvegarde (un peu d’aide ici).

Stratégie de sauvegarde (image : scalair.fr)

Source


Article édité le 12 juillet 2020 :

Et s’il est déjà trop tard ?

Les chercheurs en cybersécurité de SentinelOne ont découvert que ThiefQuest utilisait une méthode de chiffrement « maison » finalement assez mal mise en œuvre. Pour faire simple, le programme de chiffrage contient également, par inadvertance, la clé de déchiffrement…

Grâce à cette découverte, SentinelOne a pu créer un programme de « décryptage ». Si votre Mac est infecté par ThiefQuest, vous pouvez utiliser le programme s1-evilquest-decryptor pour déchiffrer vous-même vos fichiers.

On dit souvent que la faille se situe entre la chaise et le clavier. Pour une fois il s’agit du clavier du pirate, pas de la victime !

Problem Exists Between Keyboard And Chair

Source

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *