Transmission, l’un des clients torrents les plus utilisés sur OS X, a diffusé un logiciel de rançon pour Mac qui a crypté les fichiers système et empêché d’y accéder jusqu’à ce que la victime paie une ?rançon ? Le malware, baptisé KeRanger, était caché dans la version 2.90 de Transmission, qui a été distribuée sur la page officielle de l’application pendant quelques heures vendredi dernier (4).
C’est probablement le premier logiciel de rançon entièrement fonctionnel pour Mac. Palo Alto Networks, qui a découvert le fléau, note que FileCoder était le plus récent malware de ce genre sur OS X ? il avait été découvert en 2014 par Kaspersky. Cependant, au moment de sa sortie, FileCoder n’était pas encore complètement développé.
KeRanger fonctionne de la manière suivante : après que l’utilisateur ait installé l’application infectée sur un Mac, le logiciel de rançon attend trois jours et reçoit des commandes à distance via le réseau Tor. Ensuite, il commence à crypter les documents et certains types de fichiers système. Après que les données soient “protégées”, l’utilisateur est tenu de payer 1 bitcoin (environ 1,7 mille) pour que les informations soient récupérées.
Les développeurs de logiciels de rançon étaient très intelligents. Comme il est signé avec un certificat valide, KeRanger a pu percer le Gatekeeper, une fonctionnalité Mac qui protège les utilisateurs contre les applications malveillantes. De plus, bien sûr, les utilisateurs prudents de Mac sauvegardent leurs fichiers sur Time Machine, et peuvent les récupérer ? mais KeRanger affecte également la sauvegarde d’OS X.
Les personnes qui ont téléchargé Transmission sur le site officiel entre vendredi (4) et samedi (5) peuvent avoir été infectées. Pour savoir si vous avez été affecté, vérifiez s’il existe un document appelé “General.rtf” dans le dossier /Applications/Transmission.app/Contents/Resources/, ou si des processus identifiés comme ?kernel_service ? sont en cours d’exécution dans le moniteur d’activités.
Apple a déjà révoqué le certificat KeRanger et mis à jour les signatures XProtect pour bloquer les logiciels malveillants, de sorte que les utilisateurs de Mac ne devraient plus pouvoir installer la version infectée de Transmission. Il est recommandé aux utilisateurs de clients torrents de télécharger la version 2.92 du client, directement à partir du site web de l’application, qui n’est plus infecté, ce que les développeurs garantissent.
