Il n'est prévu que pour 2025, mais déjà, le très attendu GTA 6 aiguise les appétits, en particulier celui des hackers, qui l'utilisent pour siphonner les mots de passe des trousseaux d'appareils macOS.
Les malwares qui ciblent spécifiquement macOS continuent de gagner en notoriété à mesure que la popularité des ordinateurs Mac augmente. Rien que sur l'année 2023, 21 nouvelles variantes de logiciels malveillants ont été identifiées, soit une augmentation de 50 % par rapport à 2022, selon une étude réalisée par Patrick Wardle, de la fondation Objective-See.
L'idée selon laquelle les pirates ne s'intéressent pas aux machines Apple est donc largement fausse, bien que par le passé, la seule évocation de macOS signifiait d'être à l'abri de tous les dangers, virus et autres malwares. Aujourd'hui, non seulement le nombre d'attaques de logiciels malveillants augmente, mais ils deviennent de plus en plus sophistiqués. C'est pourquoi Clubic vous recommande d'embarquer un antivirus à bord de votre macOS.
Au cours d'une analyse approfondie des échantillons fragmentés d'un malware macOS notable, les experts en sécurité de Moonlock ont révélé un programme d'une sophistication inquiétante. Se faisant passer pour le très attendu GTA 6, qui avait déjà circulé sous la forme de faux exécutables fin 2023, ce malware déploie des techniques astucieuses pour extraire des informations sensibles, telles que les mots de passe stockés dans le trousseau local de l'utilisateur.
Un cheval de Troie déguisé en GTA 6
Moonlock, la branche spécialisée en cybersécurité de MacPaw, a identifié une nouvelle souche de malware comme étant une variante du logiciel de vol de mots de passe (PSW). Il s'agit d'un type de cheval de Troie malveillant conçu pour collecter les identifiants et les mots de passe des machines infectées, puis les transmettre à l'acteur malveillant grâce à une connexion à distance ou par e-mail.
Ce malware se camoufle soit en prétendant être une copie de GTA 6, soit en se faisant passer pour une version piratée de Notion, un logiciel de prises de notes notamment connu des propriétaires de machines Apple. Cette technique d'ingénierie sociale exploite la confiance en utilisant des noms familiers pour inciter les utilisateurs à télécharger des logiciels malveillants.
Attention toutefois ! Si tous les Mac sont équipés de macOS Gatekeeper, un mécanisme de sécurité intégré qui fonctionne en arrière-plan pour empêcher les utilisateurs de télécharger des applications non signées depuis Internet, potentiellement infectées par des logiciels malveillants, cette fonctionnalité peut être contournée simplement en cliquant avec le bouton droit sur le fichier DMG et en sélectionnant « Ouvrir ». Les hackers exploitent cette vulnérabilité en incluant des instructions pour inciter l'utilisateur à ouvrir le fichier malveillant.
Une fausse fenêtre invitant l'utilisateur à donner son mot de passe
Lorsque le fichier DMG est exécuté, il libère un fichier Mach-O nommé AppleApp. Moonlock explique qu'« AppleApp » lance ensuite une requête GET vers une URL spécifique à partir d'une adresse IP russe. Si la connexion réussit, le programme commence à télécharger une charge utile partiellement obscurcie en AppleScript et en Bash. Cette charge utile est ensuite exécutée directement à partir de la mémoire de l'application, contournant ainsi le système de fichiers.
Une fois exécutée, la charge utile se sert de plusieurs approches pour atteindre ses objectifs malveillants, notamment le phishing des informations d'identification, le ciblage des données sensibles, le profilage du système et l'exfiltration de données.
Le malware déploie également une tactique intelligente pour accéder à la base de données locale du trousseau, ce qui nécessite le mot de passe système de l'utilisateur. Il le fait en simulant une fausse fenêtre d'installation d'application d'assistance, exploitant ainsi la confiance de l'utilisateur pour révéler son mot de passe.
Une fois cette étape franchie, le malware commence à cibler les bases de données du trousseau ainsi que d'autres sources de données sensibles. Il parcourt les répertoires système à la recherche de données précieuses telles que les cookies, l'historique des formulaires et les informations de connexion des navigateurs web populaires. Il recherche également la liste des serveurs récents de FileZilla, les bases de données macOS Keychain et les portefeuilles de cryptomonnaies.
En utilisant des scripts AppleScript sophistiqués, le malware établit également un dossier secret dans les répertoires personnels des utilisateurs. Tous les identifiants, mots de passe et clés collectés y sont stockés en attendant d'être extraits du système infecté vers un serveur externe contrôlé par le cybercriminel. Petit rappel utile : GTA 6 n'est pas encore sorti.
Sources : 9to5mac, Moonlock, Objective-See
Ex-journaliste société, l'univers du web, des réseaux, des machines connectées et de tout ce qui s'écrit sur Internet m'ouvre l'appétit. De la dernière trend TikTok au reels le plus liké, je suis issue de la génération Facebook que la guerre intestine entre Mac et PC passionne encore. En daronne avisée, Internet, ses outils, pratiques et régulation font partie de mes loisirs favoris (ça, le lineart, le tricot et les blagues pourries). Ma devise: l'essayer, c'est l'adopter, mais en toute sécurité.
Lire d'autres articles
