Le premier ransomware pour macOS à avoir fait parler de lui est KeRanger. Les chercheurs en sécurité de ESET ont découvert un autre spécimen. Il est distribué via les réseaux P2P en se faisant passer pour un crack pour des outils comme Adobe Premiere Pro CC et Office 2016 pour Mac.

Une archive ZIP contient de fausses applications Patcher, soit de faux outils pour soi-disant cracker des logiciels commerciaux. Identifiée en tant que Filecoder.E par ESET, la menace de type ransomware qui se cache est jugée mal codée.

macOS-ransomware-patcher

Une seule clé de chiffrement est générée pour tous les fichiers pris en otage qui sont alors placés dans des archives ZIP chiffrées. Cependant, il n'y a aucun mécanisme de communication mis en place avec un serveur de contrôle et commande. Pas de code présent à cet effet.

De fait, la clé utilisée pour chiffrer les fichiers ne peut pas être envoyée à l'attaquant. Autant dire que payer la rançon pourtant exigée ne mène à rien. À l'adresse Bitcoin prévue à cet effet, il n'y a d'ailleurs eu aucune transaction. C'est peut-être aussi parce que les utilisateurs ne sont pas dupes ou que ce ransomware est peu répandu…

L'action de chiffrement n'est pas à prendre à la légère dans le cas où un utilisateur aurait passé outre les paramètres de sécurité par défaut de macOS (il n'y a pas de signature numérique avec un certificat d'Apple pour le développeur). Selon ESET, la clé aléatoire est notamment trop longue pour être cassée par force brute.

Filecoder.E ne paraît pas être une menace sérieuse mais une nouvelle manifestation d'un intérêt pour cibler l'ordinateur Mac, même si c'est ici maladroitement.