KeRanger : Mac OS X visé par un ransomware diffusé par Transmission

3
110

Les Mac n’ont qu’à bien se tenir ! Le ransomware KeRanger s’adapte et attaque Mac OS X en utilisant le client BitTorrent Transmission comme vecteur de diffusion. La rançon de déchiffrement est élevée : 1 Bitcoin, soit environ 400 euros…

Le ransomware KeRanger serait bien le tout premier malware de ce type visant spécifiquement les Mac. On savait déjà que les Mac n’étaient désormais plus à l’abri sans une protection adaptée, mais les ransomwares semblaient être inexistants. KeRanger semble être le premier ransomware totalement fonctionnel sous Mac. Notons que les ransomwares constituent une menace récurrente qui touche énormément de particuliers et d’entreprises.

Kaspersky Labs en avait déjà identifié un en 2014. Mais selon Palo Alto Networks, KeRanger est le « premier ransomware totalement fonctionnel vu sur la plateforme OS X » :

« Ceci est le premier dans la nature qui est certainement fonctionnel, chiffre vos fichiers et cherche à obtenir une rançon » explique à Reuters le directeur du Palo Alto Threat Intelligence, Ryan Olson.

Les fichiers présents sur l’ordinateur sont chiffrés avec un puissant algorithme et le malware dévoile ensuite une procédure de paiement permettant à la victime de se procurer le déchiffrement de ses données pour 1 Bitcoin (actuellement environ 400 €). L’une des particularités de KeRanger est qu’il se cache dans une version malveillante du client BitTorrent Transmission, qui comporte pourtant un certificat de développeur valide (à priori diffusé sur le site officiel durant 48 heures, entre le 4 et 5 mars). De ce fait, le système considère le programme comme étant sûr et autorise  son installation. Les domaines utilisés par le malwares sont tous au sein du réseau Tor, en .onion.

Le certificat en cause a été révoqué par Apple, qui a ajouté la signature à son outil Gatekeeper, pour s’assurer que plus personne ne puisse l’installer et l’exploiter.

transmission-keranger

« En outre, KeRanger semble être encore en développement actif et il semble que le malware tente également de chiffrer les fichiers de sauvegarde Time Machine pour empêcher les victimes de récupérer leurs données de backup » ajoutent les chercheurs.

Palo Alto Networks a alerté Apple de cette attaque le 4 mars. Depuis la firme a révoqué le certificat de sécurité exploité par KeRanger et mis à jour son logiciel antivirus XProtect. Apple n’a pas souhaité faire de commentaire sur ce ransomware.

Il reste encore à comprendre comment KeRanger a été capable d’infecter Transmission. Une autre spécificité de ce ransomware est qu’il ne passe à l’action qu’après trois jours d’activité au sein d’un système, afin de brouiller les pistes. L’objectif était apparemment de faire en sorte que suffisamment d’utilisateurs téléchargent la version malveillante de Transmission avant que la menace ne soit connue et identifiée. Face à KeRanger, F-Secure déclenche une détection générique, le module software utilisé étant relativement commun. Les utilisateurs sont encouragés à ne pas installer Transmission 2.90 et à mettre à niveau la version 2.92 immédiatement si la version 2.90 est installée.

Reste à savoir si cette menace est la première d’une série qui viserait les Mac… F-Secure suit attentivement l’évolution de la situation et ne manquera pas de faire le point régulièrement sur la situation.

Les commentaires sont fermés.