Si vous avez téléchargé sur votre Mac le client BitTorrent « Transmission » le week-end dernier, faites attention, car il contient peut-être un ransomware baptisé « KeRanger » qui va chiffrer toutes vos données : documents, images, audio, vidéo, archives, email, etc.
En effet, des pirates ont réussi à infecter l’exécutable à télécharger sur les serveurs officiels de l’éditeur qui l’a diffusé entre le vendredi 4 mars à 20h et le dimanche 6 mars à 4h (heure de Paris).
L’utilisateur n’avait aucune chance de détecter ce piège. Le binaire (v2.9) était signé avec un certificat de développeur Apple tout à fait valable. Le logiciel GateKeeper, qui détecte les fausses signatures, n’a donc pas pu sonner l’alarme. Les développeurs de Transmission n’utilisent pas non plus de procédés cryptographiques permettant de vérifier l’intégrité de l’exécutable (par une signature GPG ou un fichier de sommes de contrôle par exemple), comme c’est le cas pour Tails Linux ou Debian. Ce qui est dommage.
Heureusement, l’exécutable infecté a depuis été supprimé des serveurs et la clé de développeur Apple révoquée. Dans le doute, il est recommandé de passer à la version 2.92 qui vient d’être publiée et qui permet de supprimer le malware. Celui-ci a été décortiqué par les chercheurs en sécurité de Palo Alto Networks, permettant de comprendre son fonctionnement.
Un bitcoin de rançon
L’exécutable infecté dépose sur l’ordinateur un fichier « General.rtf » qui n’est pas un document texte comme on pourrait le croire, mais un autre exécutable, malveillant celui-ci. Il va collecter un certain nombre d’informations sur la machine hôte et les transmettre à un serveur de commande et contrôle logé dans le réseau Tor. Au bout de trois jours, il récupère depuis ce serveur une clé publique RSA qu’il utilise pour chiffrer les données. Ensuite, l’utilisateur est averti par un message qui lui demande de transférer un bitcoin au pirate (environ 377 euros).
Les chercheurs ont également découvert une fonction «encrypt_timemachine » qui n’est pas encore opérationnelle. Son but semble être le chiffrement des fichiers que le logiciel Time Machine a sauvegardé sur un disque dur externe, ce qui est particulièrement vicieux. Nous rappelons, à cette occasion, qu’il n’est pas recommandé d’être connecté en permanence à un disque dur externe, car les ransomwares sont parfaitement capables de les détecter et de les chiffrer. Le mieux, c’est d’effectuer les sauvegardes à la main puis de déconnecter le disque externe (ce qui n’est malheureusement pas très pratique).
Il semblerait que KeRange soit le premier vrai ransomware pour Mac OS X. En 2014, Kaspersky avait déjà détecté un malware de ce type pour ordinateurs Apple, mais il n’a jamais été finalisé et, par conséquent, ne fonctionnait pas.
En revanche, ce n’est pas la première fois que des pirates infectent des exécutables d’installation. C’est arrivé notamment en février dernier, avec la distribution Linux Mint, dont les fichiers ISO ont été infectés avec une porte dérobée.
Sources :
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
