Découverte d’un nouveau rançongiciel ciblant les machines macOS
Le maliciel EvilQuest a été découvert par un chercheur de K7 Lab et serait actif depuis plus d’un mois. Analysé par les chercheurs de Malwarebytes, il ne ciblerait que les machines macOS et son vecteur d’infection serait des applications en ligne compromises sous forme de traqueurs torrent, telles que Little Snitch, Ableton ou Mixed in Key.
Une fois installé sur la machine victime, EvilQuest ouvre un portail shell pour établir la communication avec le serveur de commande et de contrôle (C2) afin de téléverser ou de siphonner des fichiers de la machine.
EvilQuest peut ainsi incorporer un enregistreur de frappes, un mineur de cryptomonnaie et dispose d’un script dédié à l’exfiltration de données. Il possède également des capacités pour vérifier qu’il n’est pas exploité sur un environnement de type bac à sable et peut contrôler la présence de mécanismes de détection. Une fois persistant sur le système, le maliciel chiffre les données de manière relativement aléatoire, avec quelques difficultés et des bogues selon l’analyse de Malwarebytes
Source : ANSSI & BleepingComputer Malwarebytes