MacRansom : un ransomware pour Mac est découvert

Du 12 au 15 mai 2017, l'attaque informatique WannaCry frappait des milliers d'ordinateurs Windows à travers le monde. Le spécialiste de sécurité informatique Fortinet alerte sur son blog sur la propagation d'un ransomware comparable, mais cette fois-ci conçu pour les Mac. Son nom : MacRansom

Un clin d'oeil à l'App Store : les auteurs de MacRansom prennent une commission de 30 %


Des malwares sur Mac sont chose rare. Non seulement parce que l'architecture de cette plateforme est moins sujette aux attaques, mais aussi parce que pour les concepteurs de ces logiciels malveillants, l'intérêt économique n'est pas au rendez-vous. En effet, si 90 % des ordinateurs dans le monde fonctionnent sous Windows, seuls 6 % d'entre eux tournent sous Mac OS. Mais voici que la société de sécurité informatique Fortinet vient de porter au grand jour l'existence d'une équipe de hackeurs se proposant pour écrire un ransomware pour le compte de toute personne désireuse d'infecter ses connaissances. Via un site disponible sur le darknet, le groupuscule propose, en échange d'une commission à hauteur de 30 % du montant extorqué, d'infecter les cibles, qui paieront une rançon en bitcoins, et de partager les 70 % restants avec le commanditaire.

Selon ses auteurs, MacRansom reste invisible à l'utilisateur infecté et s'exécute soit à la date et à l'heure programmée, soit au moment où l'utilisateur insérera une clé USB.

Malware pour Mac sur le darknet


MacRansom : les malfaiteurs demandent 625 euros


Pour se faire infecter par MacRansom, l'utilisateur doit forcément télécharger le fichier contenant le code malveillant. Une fois le logiciel lancé, il crée un fichier avec un nom aux airs légitimes : ~/LaunchAgent/com.apple.finder.plist, et le chiffrement commence. En tout, seuls 128 fichiers peuvent être chiffrés. Selon les ingénieurs de Fortinet, la clé de déchiffrement est la même que la clé de chiffrement. Alors, pour ne pas permettre à l'utilisateur de procéder lui-même au déchiffrement, la clé est effacée du disque dur aussitôt que le chiffrement est terminé. Afin de rester le plus discret possible face aux anti-virus, le fichier contenant le malware change de date, avant de se supprimer lui aussi. Seul un message pop-up s'affiche à l'écran, demandant à la victime de transférer 0,25 bitcoin (l'équivalent de 625 euros) sur un porte-monnaie électronique. Selon l'auteur du message, les fichiers sont déchiffrés automatiquement sous 7 jours.

Même si ce ransomware est moins sophistiqué que ses équivalents sur Windows, Fortinet alerte néanmoins sur sa dangerosité et recommande de toujours avoir une copie de sauvegarde de ses fichiers importants, sur un disque dur externe ou dans le cloud.

Modifié le 13/06/2017 à 18h46
Commentaires