EvilQuest/ThiefQuest va bien au-delà de la demande de rançon
ThiefQuest, le nouveau petit nom du rançongiciel EvilQuest1, va bien au-delà de la « simple » demande de rançon. Non seulement le malware chiffre les fichiers du Mac et exige une somme pour les déverrouiller, mais son pouvoir de nuisance est beaucoup plus étendu, selon Dinesh Devados de la société K7 Lab. Le chercheur met en évidence plusieurs des étonnantes capacités de ce logiciel malfaisant.

ThiefQuest est en mesure d'exfiltrer des fichiers provenant d'un Mac infecté ; de fouiller dans le système pour repérer les mots de passe et les données des portefeuilles de cryptomonnaies ; il installe aussi un enregistreur de frappe (keylogger) pour choper au fil de la frappe les mots de passe, numéros de cartes bancaires et autres informations financières. Enfin, il crée une porte dérobée dans le système !
Une véritable petite saleté donc, qu'on évitera comme la peste. C'est relativement simple : il suffit de ne pas télécharger de logiciels commerciaux piratés. Trois torrents au moins convoient ThiefQuest : des installeurs de Little Snitch, de Mixed In Key, un logiciel de DJ, et de la plateforme de production musicale Ableton. Bien sûr, les éditeurs de ces applications n'ont rien à voir avec le malware.

D'après Devados, ThiefQuest se présente sous la forme d'un programme de mise à jour de logiciels Google. Le chercheur ajoute que selon ses observations, on dénombre peu de téléchargements du malware et qu'à l'heure actuelle, personne n'a payé la rançon à l'adresse bitcoin. Que cela n'empêche pas de rester vigilant : il faut télécharger les logiciels autant que possible depuis les sites des éditeurs ou sur le Mac App Store.
-
Les chercheurs ayant donné le nom EvilQuest se sont aperçus un peu tard qu'il existait une série de jeux qui portait le même patronyme. ↩︎
les logiciels piratés sont source de soucis permanents. Ca fait un bail que j'ai arrêté de jouer avec çà
Quel génie du mal mdr, toujours la pour nous jouer un mauvais toure 😔
Enfin celui qui pirate c’est pas pour éviter le Mac App Store mais de payer. ^^ (j’encourage pas la pratique)
Bonjour, Quels programmes sont capables de le détecter avant qu’il ne sévisse s’il vous plait ?
@Zefram
MalwareBytes apparemment
@marc-5
Merci 👍
@Zefram
Par les apps de https://objective-see.com/products.html qui produisent le fameux pare-feu LuLu
Question sérieuse : est-ce que un Mac sous ARM pourrait potentiellement subir se genre de malware qui sont écrit pour du Intel ?
@R-APPLE-R
Rosetta 2 😉
Encore que, je n’en sais rien 😞
@R-APPLE-R
"Question sérieuse : est-ce que un Mac sous ARM pourrait potentiellement subir se genre de malware qui sont écrit pour du Intel ?"
De toute manière, la réécriture en ARM ne prenant pas beaucoup de temps, les malwares seront très vite à la page. Il est assez probable que des développeurs travaillent actuellement sur des prototypes de logiciels malicieux (selon la définition de l'académie Française) avec des Kit de transition ARM.
Heureusement, les vecteurs d'infection (les logiciels piratés) seront (au début en tout cas), moins présents qu'en version Intel.
Ce qu'il faut retenir c'est que le passage à l'ARM n'est pas une potion magique anti-malware ! Les entités maléfiques (virus, bactéries, trolls et malwares s'adaptent en permanence aux changements de l'environnement).
@IceWizard
Ok donc il suffit juste d’utiliser le kit développement d’Apple... enfantin donc ?
@R-APPLE-R
« Ok donc il suffit juste d’utiliser le kit développement d’Apple... enfantin donc ? »
Je n’aurais pas employé le mot enfantin. Il faut des gars très compétent pour le faire. Mais oui, avec le MacMini spécial Transition et son processeur A12Z tournant sur MacOS ARM, des spécialistes du domaine doivent porter rapidement des Malwares MacOS Intel en version APPLE Silicon.
OK d'accord j'ai compris c'est assez simple quoi c'est dommage !
@R-APPLE-R
Il « suffit » juste de développer le nouveau virus avec le kit de transition Apple.
Oui enfin, c’est quand même un peu plus compliqué que de taper « infecter machine et demander 10 bitcoins pour la déverrouiller » dans un fichier texte hein 😅
@IceWizard
Le pire, ce sont les trolls ! Ils se mettent à jour très rapidement et sont complètement indépendant de l’OS sous jacent 😜
Le problème c'est que comme les devs ont pris l'habitude de demander le mot de passe administrateur et de ne pas signer leurs apps. Quand un malware fait pareil ça ne met du coup pas la puce à l'oreille.
Il serait temps qu'Apple fasse quelque chose contre ça, interdire le fonctionnement des apps non signées par exemple.
@fousfous
Il serait plus urgent qu'Apple arrête de distribuer des malwares sur l'AppStore... 🤦♂️
Cherchez les anti malwares, adware medic et autres adwares doctor sur l'AppStore (ainsi que d'autres prétendus antivirus). 1 sur 2 est un malware... (que l'anti malware de MalwareBytes vous signalera comme tel)
@fousfous
Je t’ai reconnu immédiatement à la lecture de ton commentaire. Mais NON, le MacAppStore exclusif N’EST PAS la panacée que tu imagines. Ce serait une source assurée de tarissement de l’offre logicielle.
@pat3
J'ai pas parlé de MAS exclusive, juste il faut que ce soit au minimum signé.
Mais bon sur iOS on n'a aucuns de ces problèmes donc faut peut-être prendre des leçons.
@fousfous
La notarisation n'est pas infaillible ! Elle garantit juste que l'app ne comporte pas de malwares connus au moment où elle a été soumise pour signature. EvilQuest aurait réussi son examen de passage.
La signature n'est pas une garantie. Les certificats sont parfois revendus et contournés.
C'est bien pour bloquer après coup, mais sur le moment ça ne protège pas.
C'est une faille de le croire.
Comme la plus grande faille est entre le clavier est la chaise, la seule protection qui vaille est la vigilance de l'utilisateur.
Ce machin, avec un certificat ou non, n'a pas à être téléchargé sur un torrent Russe, Chinois ou Martien.
"C'est relativement simple : il suffit de ne pas télécharger de logiciels commerciaux piratés."
C'est relativement simple: il suffit de connaître les bons sites.
Plus sérieusement, cela fait 7 ans que je suis sous macOS, que j'utilise des logiciels pirates quotidiennement et je n'ai jamais eu un seul souci (pas de keylogger, minage d'Ethereum & co, etc.).
@Nesy
"Je n'ai jamais eu un seul souci"
Une belle formule à graver sur une tombe ..
Vu le nombre de logiciels que j'ai piratés au cours de ces dernières années (màj comprises), sur mes 3 Mac, je pense qu'on peut aisément dire que statistiquement le niveau de risque est très faible à partir du moment où on est un minimum vigilant (à moins bien sûr que j'ai une chance exceptionnelle, mais cela n'a pas trop jamais été mon cas informatique tbh).
En outre, je connais plusieurs personnes dans mon entourage faisant la même choses que moi. Et devinez quoi, personne n'a un seul souci.
Moi je connais quelqu'un dont le grand-père a vécu jusqu'à 103 ans en fumant quotidiennement son paquet de Gauloises.
Comme dit dans mon commentaire, il suffit de savoir où chercher et de vérifier les sources.
Après c'est clair, ce n'est pas pour monsieur et madame tout le monde (« Oh, un DMG avec le nom du logiciel que je souhaite installer contient un installateur Adobe pour celui-ci. Cool! »).
Bref, suffit de faire un minimum attention et d'avoir toujours des sauvegardes sous la main.
@Nesy
Votre commentaire m’interpelle. Au delà de l’utilisation de logiciels piratés - que l’on ne devrait pas recommender - vous dites “Bref, suffit de faire un minimum attention et d'avoir toujours des sauvegardes sous la main.”
Cela me paraît très dangereux. Vous avez peut-être eu de la chance - ou qui sait été infecté sans le savoir - mais dans la plupart des cas, non il ne suffit pas de faire seulement un minimum attention. De nombreuses personnes ont “fait attention” et se sont retrouvées infectées.
@Nesy
Commence t-il par un "N" avec une extension en .to ?
Bon, little Snitch pourquoi pas, encore que. Mais Ableton? Il y a tant de gens que ça qui le téléchargent? Ça reste super spécialisé et costaud comme soft. En tant que pirate j’aurais essayé de taper plus large, et implanté ma vérole dans un logiciel plus répandu ou grand public non, pas vous? À moins que ça tienne au format/structure de ces logiciels?