DazzleSpy, le nouveau malware ciblant macOS intègre un keylogger et peut activer le microphone

Thibaut Keutchayan
Publié le 31 janvier 2022 à 18h25
© Pixabay
© Pixabay

Consécutivement au report d'une attaque par le Groupe Google Trade Analysis (TAG) en novembre, des chercheurs en cybersécurité d'Eset ont mené une enquête sur le malware DazzleSpy. Ce dernier exploitait notamment des failles dans macOS et Safari .

Après trois mois d'enquête, le virus semble avoir été conçu à des fins politiques, en ciblant notamment les activistes favorables à un régime démocratique à Hong-Kong.

Les vulnérabilités sont patchées par Apple

Avant toute chose, la principale (et bonne) nouvelle est que les failles exploitées par le virus DazzleSpy sont connues d'Apple, et surtout patchées. Cela signifie que vous devez impérativement mettre à jour votre appareil tournant sous le système d'exploitation macOS si celui-ci est, au minimum, équipé de la version 10.15.2. Pour ce faire, rendez-vous dans « Préférences système » puis cliquez « Mise à jour du logiciel » et comptez maximum 30 minutes pour que la mise à jour soit téléchargée et installée.

Plus exactement, selon ESET, DazzleSpy semble avoir été conçu pour accomplir des campagnes particulièrement complexes, avec plus de mille lignes de code employées. Ainsi, un tel virus nécessite des pirates disposant de « fortes capacités techniques », et manifestement intéressés par le ciblage « probable des personnes politiquement actives et pro-démocratie à Hong Kong ».

Faut-il pour autant directement porter le regard vers Pékin ? ESET se garde bien de nommer un coupable potentiel. Ce sont des sites faussement favorables à l'instauration d'une démocratie à Hong-Kong qui ont été créés. Nombre de ces « faux » sites ne sont d'ailleurs plus disponibles, mais ont été créés entre septembre et octobre dernier et sont restés actifs plus d'un mois, distinguables par l'ajout dans l'URL du malicieux « iframe ». Par exemple, un site frauduleux nommé « Libérer Hong Kong, la révolution de notre temps » et employant le domaine fightforhk[.]com a été enregistré le 19 octobre 2021.

Un virus identifié depuis plusieurs mois

Pire, le site officiel d'une radio hongkongaise pro-démocratie, DP100, a lui aussi été piégé entre le 30 septembre et le 4 novembre 2021 avec le même « iframe ». Les visiteurs des sites infectés employant une version vulnérable de macOS ont par la suite été victimes d'un exploit nommé « mac.js » chargé par JavaScript.

Apple a également publié des correctifs pour iOS et iPadOS car une autre faille par laquelle s'engouffrait DazzleSpy provenait de WebKit, le moteur de navigation notamment utilisé par Safari (version 14.1 et antérieures).

Ainsi, l'enquête d'ESET révèle que ce malware est capable de prendre un contrôle complet des appareils sur lesquels il s'engouffre, à l'insu de l'utilisateur, qu'il peut dès lors espionner. Captures d'écran, extraction de fichiers, mais aussi espionnage par le biais d'un keylogger (littéralement un enregistreur de touches pour connaître les mots tapés sur le clavier) ou encore du micro, voilà autant de privilèges administrateur et de capacités (non exhaustives) que s'attribue ce virus. Le nombre de victimes potentielles n'est pas encore connu. Pour plus de détails sur DazzleSpy, n'hésitez pas à visiter le site d'ESET.

Sur le même sujet :
Vous êtes le vrai problème de sécurité de votre ordinateur, comment le protéger ?
Intego Mac Premium Bundle (Virus Barrier) X9
Intego Mac Premium Bundle (Virus Barrier) X9
  • moodVersion gratuite limitée
  • devices1 à 5 appareils
  • phishingAnti-phishing inclus
  • local_atmAnti-ransomware inclus
  • groupsContrôle parental inclus
9.1 / 10
Télécharger
Lire le test

Sources : Rapport de sécurité d'ESET, 9to5Mac

Par Thibaut Keutchayan
XLinkedIn

Je m'intéresse notamment aux problématiques liant nouvelles technologies et politique tout en m'ouvrant à l'immense diversité des sujets que propose le monde de la tech' quand je ne suis pas en train de taper dans un ballon.

Articles de Thibaut Keutchayan
Piratage / Cybercriminalité
Malware / Ransomware
Apple
Actualités High-Tech
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (6)
mcbenny

Si je peux me permettre, dans votre première phrase, « Consécutivement au report d’une attaque… », vous voulez sûrement parler d’un « rapport », et non pas d’un report (décalage à un moment ultérieur).
Les anglicismes c’est sympa mais à l’écrit, ça peut créer des incompréhensions.

benben99

le grand responsable dans cette histoire est Apple qui dispose de milliards, vend des ordinateurs a deux milles balles, mais mous livre des logiciels sécurisés comme des passoires

Shaepardz

Impossible il n’y a pas de virus chez Apple

tosqualler

Plus de mille lignes de code ?? omg qui peut encore faire ça…

benben99

Effectivement, j’ai failli avaler mon café de travers quand j’ai lu que mille lignes de code est un logiciel complexe :rofl:

Space_Boy

hmmm…J’ai écrit moi-même une grosse « fonction » de 50’000 lignes, dans un soft qui compte plusieurs millions lignes de code. Pourtant, on n’était pas plus que 10 gugus. Quand tu sais ce que tu fais, pisser du code va vite :slight_smile:

Sur le même sujet
Scam : pourquoi Apple ne fait pas le ménage dans son Mac App Store ?
7 commentaires
DazzleSpy, le nouveau malware ciblant macOS intègre un keylogger et peut activer le microphone
6 commentaires
Facebook
X