Les hackers nord-coréens du groupe Lazarus ont mis au point un nouveau kit malveillant capable d'infecter les Mac, en se faisant passer pour Zoom ou Microsoft Teams. Preuve que les appareils Apple ne sont clairement plus à l'abri des cyberattaques.
Spécialisé dans l'espionnage, le sabotage et le vol financier à grande échelle, Lazarus opère sous l'égide du gouvernement nord-coréen depuis près de quinze ans. Connu pour cibler les plateformes de cryptomonnaies et les institutions financières, le groupe s'est aussi démarqué l'année dernière en visant les fabricants de drones européens. Avec ce nouveau kit spécifiquement, il revient sur son terrain de prédilection, révèle Cybersecurity News.
Une simple invitation
Rien de très inquiétant de prime abord. Les victimes, souvent issues de l'univers de la finance, des cryptomonnaies ou du Web3, reçoivent un message Telegram qui semble anodin : une invitation à rejoindre une réunion Zoom, Microsoft Teams ou Google Meet. En réalité, le compte qui l'a envoyé est usurpé, et le lien redirige vers un faux site imitant ces plateformes, où un message d'erreur s'affiche.
Pour « résoudre le problème », l'utilisateur est invité à copier-coller une commande dans le terminal de son Mac. Et c'est là que tout bascule. Car en exécutant la commande, la victime installe elle-même le kit malveillant sans le savoir, une technique baptisée ClickFix.
Une fois en place, le logiciel opère en quatre étapes : il se fait passer pour une application légitime, dresse un profil complet de l'ordinateur, s'assure de redémarrer automatiquement à chaque connexion, puis vole identifiants, cookies et données bancaires stockés dans les navigateurs. Le tout est ensuite envoyé discrètement aux hackers via l'API Telegram, un canal difficile à détecter car largement utilisé au quotidien.
L'écosystème Apple de plus en plus visé
Ce kit, baptisé Mach-O Man, a été conçu nativement pour macOS. Il est compatible aussi bien avec les anciens Mac à processeur Intel qu'avec les modèles équipés de puces Apple Silicon. Une attaque pensée spécifiquement pour infiltrer l'écosystème de la marque à la pomme, en somme. S'il a longtemps bénéficié d'une réputation de sécurité supérieure à celle de Windows, les cybercriminels exploitent aujourd'hui cette confiance avec des mécanismes toujours plus sophistiqués.
Face à ce type de menace, la prudence s'impose évidemment. Il est ainsi recommandé de ne jamais exécuter une commande terminal suggérée par un lien externe, de vérifier l'authenticité des invitations à des réunions en ligne, et surtout de maintenir son système à jour.
