Thiefquest Mac Ransomware et décryptage

Thiefquest est le nom d'une souche de ransomware qui a fait le tour en 2020. Le malware était initialement considéré comme un ransomware, car il afficherait un message d'avertissement et déposerait une note de rançon. Cependant, une analyse plus approfondie a révélé que le malware n'est pas exactement un ransomware mais plutôt un essuie-glace.

Même si Thiefquest afficherait un message d'avertissement sur les systèmes Windows et Mac et déposait une note de rançon appelée READ_ME_NOW.txt sur le bureau, et qu'il y aurait une chaîne de portefeuille Bitcoin dans la note de rançon, les chercheurs en sécurité ont révélé que cet argent ressemblait davantage à un don aux mauvais acteurs exploitant le malware.

L'analyse a montré que Thiefquest n'avait pas d'infrastructure appropriée et d'identifiants solides, qu'il pouvait utiliser pour identifier la victime qui effectuait le paiement.

Les chercheurs pensent que la note de rançon agit plus comme un écran de fumée, pour masquer le véritable objectif du malware - l'exfiltration et le vol de données.

Pour les systèmes MacOS, le Thiefquest est distribué dans de faux installateurs d'applications chargés de logiciels malveillants, prétendant être des applications populaires telles que Ableton Live et Mixed In Key - curieusement deux applications destinées aux personnes travaillant dans la production musicale.

Une fois déployé sur l'ordinateur de la victime, Thiefquest commencerait à crypter les fichiers et afficherait enfin une fenêtre pop-up avec son message et le nom de sa note de rançon, ainsi que la demande de paiement de 50 dollars.

Dans le paysage actuel des malwares, où les acteurs de la menace ciblent des entreprises et des entités de plusieurs millions de dollars, les demandes de rançon de 50 dollars semblent risibles, mais les ransomwares tels que Thiefquest ne sont pas un outil d'attaque ciblée. Alors que la plupart des opérateurs de ransomwares modernes recherchent soigneusement leurs cibles et exécutent des attaques de précision, les ransomwares tels que Thiefquest sont distribués via des campagnes de spam malveillantes ou des téléchargements malveillants hébergés en ligne.

Des recherches supplémentaires ont montré que le code de Thiefquest ne contient aucun appel à sa routine de décryptage, il n'y a donc pratiquement aucun moyen de restaurer des fichiers cryptés en envoyant de l'argent aux opérateurs de ransomware.

Une caractéristique curieuse de Thiefquest est qu'il recherchera en fait des fichiers exécutables et leur ajoutera un code malveillant, ce qui lui donnera un comportement de type virus et en fera l'une des très rares souches de logiciels malveillants de type virus qui affectent les systèmes MacOS.

Pour les utilisateurs de Mac, il existe un outil de décryptage gratuit pour Thiefquest publié en ligne. L'outil a été développé par la société de cybersécurité SentinelOne et était basé sur la recherche d'une fonction de décryptage dans le code du malware. Vous pouvez télécharger l'outil gratuitement en ligne et l'utiliser pour décrypter un système qui a été affecté par le malware Thiefquest.