Des pirates ont réussi à diffuser le tout premier ransomware fonctionnel sous Mac OS X, en utilisant le client BitTorrent Transmission comme vecteur de diffusion. Le logiciel réclame 1 bitcoin (près de 400 euros) pour redonner l'accès aux fichiers de l'ordinateur.

Les ransomwares qui permettent à des pirates d’extorquer de l’argent en prenant en otage les documents des internautes ne sont plus une exclusivité Windows. Des chercheurs de Palo Alto Networks ont révélé dimanche qu’une version malveillante de Transmission 2.90 pour Mac OS X avait été diffusée sur le site officiel du client BitTorrent entre le 4 mars et le 5 mars, qui contenait le tout premier ransomware fonctionnel connu sous OS X, baptisé KeRanger.

Lorsque l’utilisateur installe cette version vérolée de Transmission, le ransomware est exécuté discrètement en parallèle, avec l’ordre de contacter trois jours plus tard le centre de commandement du pirate, pour commencer son œuvre. KeRanger envoie alors vers ce serveur des informations permettant d’identifier l’ordinateur de la victime avec un numéro unique, puis récupère une clé RSA spécifique à cette victime. Le serveur est bien sûr accessible uniquement à travers le réseau Tor, qui permet au maître-chanteur de masquer son origine.

370 euros pour récupérer ses fichiers

Le logiciel recherche alors tous les fichiers avec plus de 300 extensions différentes (images, documents, photos, vidéos, musiques…), et les chiffre les uns après les autres en utilisant la bibliothèque open-source mbed TLS (anciennement PolarSSL) et un ensemble de chiffrements successifs qui utilisent à la fois la clé RSA fournie et une clé AES générée localement à partir de chaque fichier. Tous les fichiers sont renommés avec une extension .encrypted ajoutée à leur nom, et leur contenu devient illisible.

Pour obtenir l’accès en clair aux fichiers, les victimes sont invitées à se rendre sur un site internet en .onion (via Tor) pour payer 1 Bitcoin, soit environ 370 euros au cours actuel, vers un compte anonyme. Si le paiement est reçu, le centre de commandement renvoie au ransomware la clé privée nécessairement au déchiffrement.

Transmission 2.92 fortement recommandé

Informé par Palo Alto Networks qui a découvert la présence de KeRanger quelques heures seulement après sa diffusion, Transmission Project a immédiatement retiré le fichier de ses serveurs et diffusé une nouvelle version, Transmission 2.92, qui intègre aussi un outil de suppression du malware. L’éditeur n’a pas expliqué la présence sur les serveurs de la version malveillante, mais Palo Alto Networks estime que les auteurs du malware ont très bien pu pirater les serveurs et profiter de la popularité de Transmission (considéré aujourd’hui comme le meilleur client BitTorrent sous Mac) pour assurer sa diffusion rapide. On ignore cependant le nombre de victimes potentielles.

Sur son site, l’éditeur affiche un message en rouge pour inciter les utilisateurs à télécharger la nouvelle version.

Le logiciel avait par ailleurs été signé avec un certificat fourni par Apple, en l’espèce enregistré au nom de « POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673) ». Ce n’était pas le nom utilisé pour signer les autres versions de Transmission. Le certificat a été révoqué par Apple, qui a ajouté la signature à son outil Gatekeeper, pour s’assurer que plus personne ne puisse l’installer.

Partager sur les réseaux sociaux Tweeter Partager Partager Partager redditer

La suite en vidéo