Chevaux de Troie, backdoors, stealers et applications frauduleuses font désormais partie du paysage des Apple users.
On croit souvent à tort qu’il n’existe pas de véritable malware pour Mac ou iPhone. Car même si les machines d'Apple sont réputées pour leur sûreté, elles ne sont toutefois pas immunisées contre les malware ou les attaques. On se souvient par exemple de Gold Pickaxe, ce cheval de Troie qui vole votre visage pour siphonner vos données bancaires.
La société française de sécurité pour Mac OS, Intego, liste les tendances récentes et des exemples spécifiques de logiciels malveillants et d'applications potentiellement indésirables (PUA) pour prévenir les Mac Users, qui n'ont pas la possibilité de se protéger depuis qu'Apple n'autorise plus les applications antivirus dans l'App Store iOS.
Les plus répandus : backdoors, cheval de Troie et infostealers
Au début de 2024, les chercheurs ont mis en garde contre un malware APT (Advanced Persistent Threat) appelé SpectralBlur, attribué à Bluenoroff, un groupe APT nord-coréen. SpectralBlur est un backdoor qui permet à un acteur malveillant à distance d'exfiltrer des données, de télécharger du code supplémentaire pour ajouter des fonctionnalités et prendre le contrôle total d'un Mac infecté.
Parallèlement, une vaste campagne a été observée pour diffuser une backdoor pour Mac appelée « Activator ». Ce malware est un cheval de Troie qui prétend « activer » une application piratée obtenue illégalement via BitTorrent. Si une victime exécute l'application Activator, elle installe une porte dérobée qui peut tenter de voler des portefeuilles de crypto-monnaie et permettre à un acteur malveillant d'envoyer des commandes à distance. Une autre famille de backdoor pour Mac est RustDoor, qui a été diffusée pour la première fois vers octobre ou novembre 2023 via des chevaux de Troie déguisés en offres d'emploi. RustDoor est conçu pour collecter les données du Mac d'une victime et les exfiltrer vers un serveur de commande et de contrôle (C&C ou C2). On doit ces ransomwares au tristement célèbre gang ALPHV, BlackCat ou Noberus.
On les appelle infostealers, ce sont les logiciels malveillants voleurs et ils sont également légion entre janvier et mars 2024. Ces malwares sont conçus pour collecter et exfiltrer des données sensibles de l'ordinateur d'une victime, y compris des mots de passe, des données de saisie automatique du navigateur, des cookies de session et des portefeuilles de crypto-monnaie.
Une récente campagne de distribution du malware Atomic macOS Stealer (AMOS) a été observée, où les auteurs de la menace ont payé pour des publicités sponsorisées pour obtenir la première position dans les résultats de recherche Google.
Hébergés par l'App Store: fausses applications de crypto et piratage
L'App Store d'Apple a continué à héberger bien malgré lui des contenus frauduleux et illégaux tout au long de l'année. Parmi eux, une fausse application LastPass Password Manager, conçue pour voler les mots de passe des victimes. Elle a été signalée par les utilisateurs et a finalement été supprimée de l'App Store.
Deux applications frauduleuses de financement par cryptomonnaie, Curve Finance et Rabby Wallet, ont également été signalées. Et comme plus c'est gros, plus ça passe, ces applications vérolées utilisaient les vrais noms et des logos très similaires à ceux des éditeurs des applications originales. C'est ainsi que la fausse application Rabby Wallet a volé plus de 100 000 dollars à des victimes qui se sont laissé prendre par cette copie quasi conforme. Les fausses applications de cryptographie demandent généralement aux victimes leur phrase de récupération secrète (seed phrase, la sauvegarde de toutes les clés privées stockées dans le portefeuille crypto) et vident ensuite tous leurs actifs.
Apple a également approuvé sans le savoir une fausse application de cryptomonnaie PancakeSwap dans l'App Store, au moins 3 fois. Une autre app contrefaite de crypto, « Leather Wallet & Hiro Bitcoin », également signalée, aurait volé plus de 120 000 dollars de crypto-monnaie à une seule victime.
En février, un fichier DMG corrompu contenant une application AppleScript malveillante appelée « Updater » a été découvert. Cette application, une fois exécutée, installe un LaunchDaemon pour s'exécuter à chaque redémarrage d'un Mac infecté, donnant un accès complet au cyberpirate.
Parallèlement, une campagne de logiciels malveillants a été signalée, où des invitations via Calendly ont été envoyées à des personnes intéressées par des technologies comme les blockchains et la crypto. Ces invitations peuvent inciter l'utilisateur à exécuter un AppleScript malveillant. De plus, une fuite de données appelée iSoon a révélé des informations sur des logiciels malveillants personnalisés pour Mac et iPhone.
Pour ne rien arranger, Apple a également commencé à autoriser les applications de piratage de films et de programmes télévisés dans l'App Store en mars. La première application qui a fait les gros titres s'est classée deuxième dans la catégorie Divertissement et dix-huitième dans la catégorie Top Free sur l'App Store américain.
Il est possible qu'Apple ait directement profité de cette application, qui contenait des achats in-app qui étaient censés supprimer les publicités ou permettre à l'utilisateur de « donner un pourboire » au développeur. Le 25 mars, le chercheur qui a découvert la première application de piratage a également trouvé deux autres applications distribuant des contenus piratés. Puis, le 28 mars, il en a découvert trois autres. Si Apple a depuis supprimé le duo, le trio d'applications de piratage se trouve toujours dans l'App Store à l'heure où Intego publie son rapport.
Bien que les applications de piratage ne soient pas nécessairement des logiciels malveillants, elles sont considérées comme des applications potentiellement indésirables (PUA) en raison de leur conception spécifique pour enfreindre les lois et de l'éthique douteuse des développeurs.
01 septembre 2024 à 15h50
Source : Intego
