Nous le répétons depuis un moment déjà : les malwares Mac sont rares par rapport à ceux qui ciblent Windows. Mais les ordinateurs Apple sont loin d’être complètement immunisés !
Les prévisions des SophosLabs concernant les malwares pour l’année en cours, évoquaient des malwares Mac permettant aux cybercriminels la collecte des données, un accès à distance secret et la prise en otage de fichiers via des ransomwares.
D’autres exemples de ransomware Mac comprennent OSX/Filecode-K et OSX / Filecode-L.
A présent, un nouveau ransomware Mac à fait son apparition, identifié par les SophosLabs sous le nom OSX/Ransom-A. Largement signalé comme un exemple de Ransomware-as-a-service (RaaS) pour Mac, il est devenu très populaire sous le nom de MacRansom.
Comment ce ransomware Mac fonctionne ?
Ce ransomware Mac ne se trouve pas encore dans la nature à proprement parlé. Ceux qui veulent obtenir un échantillon doivent contacter ses développeurs, par email sécurisé via ProtonMail. SophosLabs a obtenu un échantillon et a fait les observations suivantes :
Lorsque vous lancez l’application malware OSX/Ransom-A pour la première fois, vous ne verrez apparaitre aucun message contextuel vous demandant un mot de passe. Le malware s’installe automatiquement, tout en douceur, pour fonctionner sous votre propre compte, plutôt qu’au sein du système dans sa globalité.
OSX/Ransom-A se copie lui-même tout simplement dans un sous-répertoire appelé ~/Library/.FS_Storage, lui permettant effectivement de se cacher à la vue de tous. (Le nom de répertoire ~/ est un raccourci Unix pour désigner “votre propre dossier personnel”, par exemple /Users/yourname/).
Le répertoire Library est utilisé officiellement par macOS pour stocker toutes sortes de fichiers de configuration dans des douzaines de sous-répertoires différents, ce qui en fait un endroit idéal pour que des malwares, aux allures inoffensives, y trouvent refuge !
Sur macOS, qui est basé sur Unix, les fichiers et les répertoires qui commencent par un point ne s’affichent pas par défaut dans les listes de répertoires ou dans Mac Finder. Ainsi, il se peut que vous ne remarquiez pas la présence de cet intrus, à savoir .FS_Storage, une cachette idéale utilisée par ce malware !
Même si vous remarquiez le répertoire du malware en question, le nom .FS_Storage lui donne un air officiel et légitime, il a été choisi d’ailleurs parce qu’il ressemble à .DS_Store, un nom de fichier macOS officiel, que vous avez certainement déjà aperçu auparavant.
Une fois en activité, OSX/Ransom-A suit le schéma classique utilisé par les ransomwares, et malheureusement bien connu à présent, à savoir le chiffrement de vos fichiers , suivi de la vente de la clé de déchiffrement dont vous avez besoin pour les récupérer :
Notez que ce ransomware Mac s’en prend à vos fichiers en commençant par le répertoire spécial /Volumes, où se trouvent tous les disques durs actuellement connectés, y compris les volumes de sauvegarde Time Machine, les clés USB et autres lecteurs amovibles.
En d’autres termes, si vous laissez régulièrement vos disques de sauvegarde connectés, afin qu’ils soient en ligne tout le temps, vous les exposez à des malwares tels que le ransomware. C’est pourquoi nous recommandons systématiquement de garder au moins une copie de sauvegarde récente, non seulement hors ligne, mais aussi hors site, au cas où.
Et après ?
MacRansom est plus une preuve claire que les cybercriminels travaillent sans relâche sur des moyens de cibler les utilisateurs Mac, avec une variété de malwares qui feront certainement leur apparition à l’avenir.
Considérez donc OSX/Ransom-A comme un exercice de sensibilisation !
En lien avec cette opération de sensibilisation, nous offrons les ressources suivantes :
- Lisez notre article : Ransomwares – Comment s’en protéger ?. Votre meilleure défense contre toutes sortes de malwares est d’éviter l’infection dès le départ !
- Ecoutez notre podcast : Dealing with ransomware. Nous expliquons tout ce qu’il faut savoir de manière très accessible.
- Faites des sauvegardes régulières, et gardez au moins une copie hors-ligne. Les ransomwares représentent une menace, parmi tant d’uatres, qui ciblent vos données personnelles sensibles.
- Essayez notre solution gratuite Sophos Home. Un anti-virus et un filtage web doivbent êtyre accessibles à tous, pas seulement aux utilisateurs sous Windows.
Billet inspiré de More evidence Mac ransomware exists, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.