Il y a peu, nous apprenions l’existence d’EvilQuest, un ransomware qui vient chiffrer un Mac infecté et réclame une rançon à l’utilisateur pour — soi-disant — débloquer la situation. Il se trouve qu’EvilQuest est beaucoup plus dangereux.

EvilQuest, maintenant nommé ThiefQuest par les chercheurs en sécurité, peut transférer les fichiers du Mac vers une autre machine via Internet, rechercher les mots de passe enregistrés, les données des portefeuilles pour les cryptomonnaies, les cartes bancaires enregistrées, activer un keylogger pour récupérer les mots de passe tapés par l’utilisateur et mettre en place une porte dérobée (backdoor) qui résiste au redémarrage du Mac. Cette porte dérobée donne un accès au hacker.

Le ransomware avait au départ été repéré au sein d’une version pirate du pare-feu Little Snitch. Il a maintenant été remarqué dans Mixed In Key (application pour DJ) et Ableton (production musicale), là aussi dans des versions piratées distribuées sur des sites de torrents. Le ransomware fait croire qu’il est une mise à jour d’une application de Google, sauf que ce n’est pas le cas.

Selon les chercheurs en sécurité, le malware a été téléchargé par peu de personnes à ce jour et personne n’a payé la rançon demandée (le hacker réclame un paiement en bitcoin).