EvilQuest/ThiefQuest va bien au-delà de la demande de rançon

Mickaël Bazoge |

ThiefQuest, le nouveau petit nom du rançongiciel EvilQuest1, va bien au-delà de la « simple » demande de rançon. Non seulement le malware chiffre les fichiers du Mac et exige une somme pour les déverrouiller, mais son pouvoir de nuisance est beaucoup plus étendu, selon Dinesh Devados de la société K7 Lab. Le chercheur met en évidence plusieurs des étonnantes capacités de ce logiciel malfaisant.

La demande de rançon de ThiefQuest.

ThiefQuest est en mesure d'exfiltrer des fichiers provenant d'un Mac infecté ; de fouiller dans le système pour repérer les mots de passe et les données des portefeuilles de cryptomonnaies ; il installe aussi un enregistreur de frappe (keylogger) pour choper au fil de la frappe les mots de passe, numéros de cartes bancaires et autres informations financières. Enfin, il crée une porte dérobée dans le système !

Une véritable petite saleté donc, qu'on évitera comme la peste. C'est relativement simple : il suffit de ne pas télécharger de logiciels commerciaux piratés. Trois torrents au moins convoient ThiefQuest : des installeurs de Little Snitch, de Mixed In Key, un logiciel de DJ, et de la plateforme de production musicale Ableton. Bien sûr, les éditeurs de ces applications n'ont rien à voir avec le malware.

Durant l'installation de la fausse version de Mixed in Key, macOS prévient l'utilisateur que le logiciel n'est pas signé. Voilà qui devrait mettre la puce à l'oreille. Image : Patrick Wardle.

D'après Devados, ThiefQuest se présente sous la forme d'un programme de mise à jour de logiciels Google. Le chercheur ajoute que selon ses observations, on dénombre peu de téléchargements du malware et qu'à l'heure actuelle, personne n'a payé la rançon à l'adresse bitcoin. Que cela n'empêche pas de rester vigilant : il faut télécharger les logiciels autant que possible depuis les sites des éditeurs ou sur le Mac App Store.


  1. Les chercheurs ayant donné le nom EvilQuest se sont aperçus un peu tard qu'il existait une série de jeux qui portait le même patronyme.  ↩︎

Source
avatar raoolito | 

les logiciels piratés sont source de soucis permanents. Ca fait un bail que j'ai arrêté de jouer avec çà

avatar Dev | 

Quel génie du mal mdr, toujours la pour nous jouer un mauvais toure 😔

avatar razerblade | 

Enfin celui qui pirate c’est pas pour éviter le Mac App Store mais de payer. ^^ (j’encourage pas la pratique)

avatar Zefram | 

Bonjour, Quels programmes sont capables de le détecter avant qu’il ne sévisse s’il vous plait ?

avatar marc-5 | 

@Zefram

MalwareBytes apparemment

avatar Zefram | 

@marc-5

Merci 👍

avatar nicolaspatate | 

@Zefram

Par les apps de https://objective-see.com/products.html qui produisent le fameux pare-feu LuLu

avatar R-APPLE-R | 

Question sérieuse : est-ce que un Mac sous ARM pourrait potentiellement subir se genre de malware qui sont écrit pour du Intel ?

avatar andr3 | 

@R-APPLE-R

Rosetta 2 😉

Encore que, je n’en sais rien 😞

avatar IceWizard | 

@R-APPLE-R
"Question sérieuse : est-ce que un Mac sous ARM pourrait potentiellement subir se genre de malware qui sont écrit pour du Intel ?"

De toute manière, la réécriture en ARM ne prenant pas beaucoup de temps, les malwares seront très vite à la page. Il est assez probable que des développeurs travaillent actuellement sur des prototypes de logiciels malicieux (selon la définition de l'académie Française) avec des Kit de transition ARM.

Heureusement, les vecteurs d'infection (les logiciels piratés) seront (au début en tout cas), moins présents qu'en version Intel.

Ce qu'il faut retenir c'est que le passage à l'ARM n'est pas une potion magique anti-malware ! Les entités maléfiques (virus, bactéries, trolls et malwares s'adaptent en permanence aux changements de l'environnement).

avatar R-APPLE-R | 

@IceWizard

Ok donc il suffit juste d’utiliser le kit développement d’Apple... enfantin donc ?

avatar IceWizard | 

@R-APPLE-R

« Ok donc il suffit juste d’utiliser le kit développement d’Apple... enfantin donc ? »

Je n’aurais pas employé le mot enfantin. Il faut des gars très compétent pour le faire. Mais oui, avec le MacMini spécial Transition et son processeur A12Z tournant sur MacOS ARM, des spécialistes du domaine doivent porter rapidement des Malwares MacOS Intel en version APPLE Silicon.

avatar R-APPLE-R | 

OK d'accord j'ai compris c'est assez simple quoi c'est dommage !

avatar Achylle_ | 

@R-APPLE-R
Il « suffit » juste de développer le nouveau virus avec le kit de transition Apple.

Oui enfin, c’est quand même un peu plus compliqué que de taper « infecter machine et demander 10 bitcoins pour la déverrouiller » dans un fichier texte hein 😅

avatar Achylle_ | 

@IceWizard
Le pire, ce sont les trolls ! Ils se mettent à jour très rapidement et sont complètement indépendant de l’OS sous jacent 😜

avatar fousfous | 

Le problème c'est que comme les devs ont pris l'habitude de demander le mot de passe administrateur et de ne pas signer leurs apps. Quand un malware fait pareil ça ne met du coup pas la puce à l'oreille.
Il serait temps qu'Apple fasse quelque chose contre ça, interdire le fonctionnement des apps non signées par exemple.

avatar r e m y | 

@fousfous

Il serait plus urgent qu'Apple arrête de distribuer des malwares sur l'AppStore... 🤦‍♂️
Cherchez les anti malwares, adware medic et autres adwares doctor sur l'AppStore (ainsi que d'autres prétendus antivirus). 1 sur 2 est un malware... (que l'anti malware de MalwareBytes vous signalera comme tel)

avatar pat3 | 

@fousfous

Je t’ai reconnu immédiatement à la lecture de ton commentaire. Mais NON, le MacAppStore exclusif N’EST PAS la panacée que tu imagines. Ce serait une source assurée de tarissement de l’offre logicielle.

avatar fousfous | 

@pat3

J'ai pas parlé de MAS exclusive, juste il faut que ce soit au minimum signé.
Mais bon sur iOS on n'a aucuns de ces problèmes donc faut peut-être prendre des leçons.

avatar r e m y | 

@fousfous

La notarisation n'est pas infaillible ! Elle garantit juste que l'app ne comporte pas de malwares connus au moment où elle a été soumise pour signature. EvilQuest aurait réussi son examen de passage.

avatar Moonwalker | 

La signature n'est pas une garantie. Les certificats sont parfois revendus et contournés.

C'est bien pour bloquer après coup, mais sur le moment ça ne protège pas.

C'est une faille de le croire.

Comme la plus grande faille est entre le clavier est la chaise, la seule protection qui vaille est la vigilance de l'utilisateur.

Ce machin, avec un certificat ou non, n'a pas à être téléchargé sur un torrent Russe, Chinois ou Martien.

avatar Nesy | 

"C'est relativement simple : il suffit de ne pas télécharger de logiciels commerciaux piratés."

C'est relativement simple: il suffit de connaître les bons sites.
Plus sérieusement, cela fait 7 ans que je suis sous macOS, que j'utilise des logiciels pirates quotidiennement et je n'ai jamais eu un seul souci (pas de keylogger, minage d'Ethereum & co, etc.).

avatar IceWizard | 

@Nesy
"Je n'ai jamais eu un seul souci"

Une belle formule à graver sur une tombe ..

avatar Nesy | 

Vu le nombre de logiciels que j'ai piratés au cours de ces dernières années (màj comprises), sur mes 3 Mac, je pense qu'on peut aisément dire que statistiquement le niveau de risque est très faible à partir du moment où on est un minimum vigilant (à moins bien sûr que j'ai une chance exceptionnelle, mais cela n'a pas trop jamais été mon cas informatique tbh).

En outre, je connais plusieurs personnes dans mon entourage faisant la même choses que moi. Et devinez quoi, personne n'a un seul souci.

avatar BordelInside | 

Moi je connais quelqu'un dont le grand-père a vécu jusqu'à 103 ans en fumant quotidiennement son paquet de Gauloises.

avatar Nesy | 

Comme dit dans mon commentaire, il suffit de savoir où chercher et de vérifier les sources.

Après c'est clair, ce n'est pas pour monsieur et madame tout le monde (« Oh, un DMG avec le nom du logiciel que je souhaite installer contient un installateur Adobe pour celui-ci. Cool! »).

Bref, suffit de faire un minimum attention et d'avoir toujours des sauvegardes sous la main.

avatar Sometime | 

@Nesy

Votre commentaire m’interpelle. Au delà de l’utilisation de logiciels piratés - que l’on ne devrait pas recommender - vous dites “Bref, suffit de faire un minimum attention et d'avoir toujours des sauvegardes sous la main.”

Cela me paraît très dangereux. Vous avez peut-être eu de la chance - ou qui sait été infecté sans le savoir - mais dans la plupart des cas, non il ne suffit pas de faire seulement un minimum attention. De nombreuses personnes ont “fait attention” et se sont retrouvées infectées.

avatar Gregoryen | 

@Nesy

Commence t-il par un "N" avec une extension en .to ?

avatar Ingmar97432 | 

Bon, little Snitch pourquoi pas, encore que. Mais Ableton? Il y a tant de gens que ça qui le téléchargent? Ça reste super spécialisé et costaud comme soft. En tant que pirate j’aurais essayé de taper plus large, et implanté ma vérole dans un logiciel plus répandu ou grand public non, pas vous? À moins que ça tienne au format/structure de ces logiciels?

CONNEXION UTILISATEUR