Les ransomwares qui permettent à des pirates d’extorquer de l’argent en prenant en otage les documents des internautes ne sont plus une exclusivité Windows. Des chercheurs de Palo Alto Networks ont révélé dimanche qu’une version malveillante de Transmission 2.90 pour Mac OS X avait été diffusée sur le site officiel du client BitTorrent entre le 4 mars et le 5 mars, qui contenait le tout premier ransomware fonctionnel connu sous OS X, baptisé KeRanger.
Lorsque l’utilisateur installe cette version vérolée de Transmission, le ransomware est exécuté discrètement en parallèle, avec l’ordre de contacter trois jours plus tard le centre de commandement du pirate, pour commencer son œuvre. KeRanger envoie alors vers ce serveur des informations permettant d’identifier l’ordinateur de la victime avec un numéro unique, puis récupère une clé RSA spécifique à cette victime. Le serveur est bien sûr accessible uniquement à travers le réseau Tor, qui permet au maître-chanteur de masquer son origine.
370 euros pour récupérer ses fichiers
Le logiciel recherche alors tous les fichiers avec plus de 300 extensions différentes (images, documents, photos, vidéos, musiques…), et les chiffre les uns après les autres en utilisant la bibliothèque open-source mbed TLS (anciennement PolarSSL) et un ensemble de chiffrements successifs qui utilisent à la fois la clé RSA fournie et une clé AES générée localement à partir de chaque fichier. Tous les fichiers sont renommés avec une extension .encrypted ajoutée à leur nom, et leur contenu devient illisible.
Pour obtenir l’accès en clair aux fichiers, les victimes sont invitées à se rendre sur un site internet en .onion (via Tor) pour payer 1 Bitcoin, soit environ 370 euros au cours actuel, vers un compte anonyme. Si le paiement est reçu, le centre de commandement renvoie au ransomware la clé privée nécessairement au déchiffrement.
Transmission 2.92 fortement recommandé
Informé par Palo Alto Networks qui a découvert la présence de KeRanger quelques heures seulement après sa diffusion, Transmission Project a immédiatement retiré le fichier de ses serveurs et diffusé une nouvelle version, Transmission 2.92, qui intègre aussi un outil de suppression du malware. L’éditeur n’a pas expliqué la présence sur les serveurs de la version malveillante, mais Palo Alto Networks estime que les auteurs du malware ont très bien pu pirater les serveurs et profiter de la popularité de Transmission (considéré aujourd’hui comme le meilleur client BitTorrent sous Mac) pour assurer sa diffusion rapide. On ignore cependant le nombre de victimes potentielles.
Sur son site, l’éditeur affiche un message en rouge pour inciter les utilisateurs à télécharger la nouvelle version.
Le logiciel avait par ailleurs été signé avec un certificat fourni par Apple, en l’espèce enregistré au nom de « POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI (Z7276PX673) ». Ce n’était pas le nom utilisé pour signer les autres versions de Transmission. Le certificat a été révoqué par Apple, qui a ajouté la signature à son outil Gatekeeper, pour s’assurer que plus personne ne puisse l’installer.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.