Services de notification
De nombreux utilisateurs Apple pensent que le système d’exploitation macOS est si sécurisé qu’aucune cybermenace ne peut leur nuire. Ils n’ont donc pas à se soucier de la protection de leurs appareils. Cependant, c’est loin d’être le cas : s’il existe moins de programmes malveillants pour macOS, ils sont toujours beaucoup plus courants que les propriétaires d’appareils Apple voudraient le croire.
Dans cet article, nous abordons les menaces auxquelles les utilisateurs de macOS sont actuellement confrontés et la manière de protéger efficacement leur Mac. Pour illustrer le fait que les virus pour macOS existent bel et bien, nous nous pencherons sur trois études récentes portant sur plusieurs familles de programmes malveillants et publiées au cours des dernières semaines.
BlueNoroff s’attaque aux utilisateurs de macOS et leur vole des cryptomonnaies.
Fin octobre 2023, nos chercheurs ont découvert un nouveau cheval de Troie macOS qui serait associé à BlueNoroff, la » branche commerciale » du groupe APT Lazarus travaillant pour la Corée du Nord. Ce sous-groupe est spécialisé dans les attaques financières et se concentre plus particulièrement sur deux choses : premièrement, les attaques contre le système SWIFT – y compris le célèbre casse de la banque centrale du Bangladesh – et, deuxièmement, le vol de cryptomonnaies aux organisations et aux particuliers.
Le programme de téléchargement du cheval de Troie macOS détecté se propage dans des archives malveillantes. Il se présente sous la forme d’un document PDF intitulé » Les cryptomonnaies et leurs risques pour la stabilité financière « , avec une icône qui reproduit un aperçu de ce document.
] Page de couverture du fichier PDF trompeur que le cheval de Troie télécharge et présente à l’utilisateur lors du lancement du fichier depuis une archive infectée. Source
Lorsque l’utilisateur clique sur le cheval de Troie (qui se fait passer pour un document PDF), un script est exécuté, puis télécharge réellement le document PDF correspondant sur Internet et l’ouvre. Mais, bien sûr, ce n’est pas tout. La tâche principale du cheval de Troie est de télécharger un autre virus, qui recueille des informations sur le système infecté, les envoie au C2, puis attend une commande pour effectuer l’une des deux actions possibles : l’autodestruction ou l’enregistrement dans un fichier et l’exécution d’un code malveillant envoyé en réponse par le serveur.
Un cheval de Troie proxy dans un logiciel piraté pour macOS
Fin novembre 2023, nos enquêteurs ont découvert un autre exemple de programme malveillant qui menace les utilisateurs Mac : un cheval de Troie proxy, distribué avec un logiciel piraté pour macOS. Plus précisément, ce cheval de Troie a été ajouté aux fichiers PKG des programmes de montage vidéo, des outils de récupération de données, des utilitaires réseau, des convertisseurs de fichiers et de divers autres logiciels piratés. La liste complète des programmes d’installation infectés découverts par nos experts se trouve à la fin du rapport publié sur Securelist.
Comme indiqué précédemment, ce programme malveillant appartient à la catégorie des chevaux de Troie proxy : un programme malveillant qui configure un serveur proxy sur l’ordinateur infecté, créant essentiellement un hôte pour rediriger le trafic Internet. Par la suite, les cybercriminels peuvent utiliser ces appareils infectés pour construire un réseau payant de serveurs proxy, en gagnant de l’argent auprès de ceux qui recherchent de tels services.
Les propriétaires du cheval de Troie peuvent également utiliser directement les ordinateurs infectés pour mener des activités criminelles au nom de la victime, qu’il s’agisse de pirater des sites Internet, des entreprises ou d’autres utilisateurs, ou d’acheter des armes, de la drogue ou d’autres biens illégaux.
Le voleur Atomic dans de fausses mises à jour du navigateur Safari
Toujours en novembre 2023, une nouvelle campagne malveillante a été découverte. Elle diffuse un autre cheval de Troie pour macOS, appelé Atomic, qui appartient à la catégorie des voleurs. Ce type de programme malveillant recherche, extrait et transmet à ses créateurs toutes sortes d’informations précieuses, trouvées sur l’ordinateur de la victime, et en particulier les données enregistrées dans les navigateurs. Les identifiants et mots de passe, les détails des cartes bancaires, les clés des portefeuilles de cryptomonnaies et d’autres informations confidentielles similaires présentent un intérêt particulier pour les voleurs.
Le cheval de Troie Atomic a été découvert et présenté pour la première fois en mars 2023. La nouveauté, c’est que les pirates informatiques ont commencé à utiliser de fausses mises à jour pour les navigateurs Safari et Chrome afin de propager le cheval de Troie Atomic. Ces mises à jour sont téléchargées depuis des pages malveillantes qui reproduisent de manière très convaincante les sites Internet originaux d’Apple et de Google.
Un site proposant de fausses mises à jour pour le navigateur Safari qui contiennent en réalité le voleur Atomic. Source
Une fois lancé sur le système, le cheval de Troie Atomic tente de voler les informations suivantes sur l’ordinateur de la victime :
- cookies
- identifiants, mots de passe et données de carte bancaire stockés dans le navigateur
- mots de passe du système de stockage des mots de passe macOS (Trousseau)
- fichiers stockés sur le disque dur
- données stockées à partir de plus de 50 extensions populaires de cryptomonnaies
Vulnérabilités zero-day dans macOS
Malheureusement, même si vous ne téléchargez aucun fichier suspect, que vous évitez d’ouvrir des pièces jointes provenant de sources inconnues et que vous vous abstenez généralement de cliquer sur tout élément suspect, votre sécurité n’est pas garantie pour autant. Il est important de se rappeler que tout logiciel comporte toujours des vulnérabilités que les pirates peuvent exploiter pour infecter un appareil, et qui ne nécessitent que peu ou pas d’action active de la part de l’utilisateur. Le système d’exploitation macOS ne fait pas exception à cette règle.
Récemment, deux vulnérabilités de type » zero-day » ont été découvertes dans le navigateur Safari, et selon l’annonce d’Apple, les cybercriminels les exploitaient déjà au moment où elles ont été découvertes. En attirant simplement la victime sur une page Internet malveillante, les pirates informatiques peuvent infecter son appareil sans aucune action supplémentaire de sa part, ce qui leur permet de contrôler l’appareil et d’en voler les données. Ces vulnérabilités concernent tous les appareils utilisant le navigateur Safari, constituant une menace pour les utilisateurs d’iOS/iPadOS et les propriétaires de Mac.
Il s’agit d’un scénario courant : comme les systèmes d’exploitation d’Apple partagent de nombreux modules, les vulnérabilités s’appliquent souvent non pas à l’un des systèmes d’exploitation de l’entreprise, mais à l’ensemble d’entre eux. Il s’agit donc d’un cas où le Mac a été trahi par la popularité de l’iPhone : les utilisateurs d’iOS sont les premières cibles, mais ces vulnérabilités peuvent tout aussi bien être utilisées pour pirater le système macOS.
En 2023, 19 vulnérabilités zero-day ont été découvertes dans les systèmes d’exploitation d’Apple. Ces vulnérabilités sont connues pour être activement exploitées par des pirates informatiques. Parmi celles-ci, 17 d’entre elles ont touché des utilisateurs de macOS, dont une bonne dizaine présentant un statut de risque élevé et une classée comme étant critique.
Vulnérabilités zero-day dans macOS, iOS et iPadOS découvertes en 2023, qui ont été activement exploitées par les cybercriminels
Autres menaces et comment protéger votre Mac
Il ne faut pas oublier qu’il existe de nombreuses cybermenaces qui ne dépendent pas du système d’exploitation, mais qui peuvent être tout aussi dangereuses que les programmes malveillants. Faites particulièrement attention aux menaces suivantes :
- Phishing et faux sites. Les emails et les sites Internet de phishing fonctionnent de la même manière pour les utilisateurs Windows et les propriétaires de Mac. Hélas, tous les faux emails et sites Internet ne sont pas facilement reconnaissables. Par conséquent, même les utilisateurs expérimentés courent le risque de se faire voler leurs identifiants de connexion.
- Menaces sur le Web, y compris les skimmers. Un programme malveillant peut infecter non seulement l’appareil de l’utilisateur, mais également le serveur avec lequel il communique. Par exemple, les personnes malintentionnées piratent souvent des sites Internet mal protégés, en particulier les boutiques en ligne, et y installent des skimmers. Ces petits modules ont pour but d’intercepter et de voler les données de cartes bancaires saisies par les visiteurs.
- Extensions malveillantes de navigateur. Ces petits modules s’installent directement dans le navigateur et fonctionnent à l’intérieur de celui-ci. Ils ne dépendent donc pas du système d’exploitation utilisé. Bien qu’elles paraissent inoffensives, les extensions peuvent faire beaucoup de choses : lire le contenu de toutes les pages visitées, intercepter des informations saisies par l’utilisateur (mots de passe, numéros de carte, clés d’un portefeuille de cryptomonnaies) et même remplacer le contenu des pages affichées.
- Interception du trafic et attaques de l’homme du milieu (MITM). La plupart des sites Internet modernes utilisent des connexions chiffrées (HTTPS), mais il est parfois possible de tomber sur des sites HTTP d’où l’échange de données peut être intercepté. Les cybercriminels utilisent cette interception pour lancer des attaques de l’homme du milieu, présentant aux utilisateurs des pages falsifiées ou infectées à la place des pages authentiques.
Pour protéger votre appareil, vos comptes de services en ligne et, surtout, les précieuses informations qu’ils contiennent, il est essentiel d’utiliser une protection complète pour les ordinateurs Mac et les iPhone/iPad. Cette protection doit être capable de contrer toutes les menaces, par exemple, notre solution [placeholder Kaspersky Premium], dont l’efficacité a été confirmée par de nombreuses récompenses décernées par des laboratoires d’essai indépendants.
Conseils