ThiefQuest, le nouveau petit nom du rançongiciel EvilQuest¹, va bien au-delà de la « simple » demande de rançon. Non seulement le malware chiffre les fichiers du Mac et exige une somme pour les déverrouiller, mais son pouvoir de nuisance est beaucoup plus étendu, selon Dinesh Devados de la société K7 Lab. Le chercheur met en évidence plusieurs des étonnantes capacités de ce logiciel malfaisant.

ThiefQuest est en mesure d'exfiltrer des fichiers provenant d'un Mac infecté ; de fouiller dans le système pour repérer les mots de passe et les données des portefeuilles de cryptomonnaies ; il installe aussi un enregistreur de frappe (keylogger) pour choper au fil de la frappe les mots de passe, numéros de cartes bancaires et autres informations financières. Enfin, il crée une porte dérobée dans le système !

Une véritable petite saleté donc, qu'on évitera comme la peste. C'est relativement simple : il suffit de ne pas télécharger de logiciels commerciaux piratés. Trois torrents au moins convoient ThiefQuest : des installeurs de Little Snitch, de Mixed In Key, un logiciel de DJ, et de la plateforme de production musicale Ableton. Bien sûr, les éditeurs de ces applications n'ont rien à voir avec le malware.

D'après Devados, ThiefQuest se présente sous la forme d'un programme de mise à jour de logiciels Google. Le chercheur ajoute que selon ses observations, on dénombre peu de téléchargements du malware et qu'à l'heure actuelle, personne n'a payé la rançon à l'adresse bitcoin. Que cela n'empêche pas de rester vigilant : il faut télécharger les logiciels autant que possible depuis les sites des éditeurs ou sur le Mac App Store.