{"id":11615,"date":"2019-04-17T12:20:27","date_gmt":"2019-04-17T12:20:27","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11615"},"modified":"2019-11-22T08:52:23","modified_gmt":"2019-11-22T08:52:23","slug":"macos-exe-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/macos-exe-malware\/11615\/","title":{"rendered":"Une infection EXE pour votre Mac"},"content":{"rendered":"

Comme nous l\u2019avons d\u00e9j\u00e0 dit plusieurs fois, l\u2019id\u00e9e selon laquelle macOS est invuln\u00e9rable est un mythe<\/a>. Les cybercriminels ont r\u00e9cemment d\u00e9couvert une autre m\u00e9thode leur permettant de contourner, dans la plus grande discr\u00e9tion, le m\u00e9canisme de d\u00e9fense int\u00e9gr\u00e9 de macOS. Ils recueillent les donn\u00e9es du syst\u00e8me infect\u00e9 puis les ajoutent \u00e0 l\u2019adware en utilisant des fichiers ayant une extension EXE, qui d\u2019habitude ne s\u2019ex\u00e9cutent que sous Windows<\/a>. Un fichier EXE qui pourrait infecter les utilisateurs Mac\u00a0? Plut\u00f4t \u00e9trange, mais cette technique est bel et bien efficace.<\/p>\n

\u00a0<\/p>\n

L\u2019histoire d\u2019une infection : un pare-feu pirat\u00e9 et accompagn\u00e9 d\u2019un malware EXE<\/h2>\n

Il est assez ironique de constater que ce malware n\u2019a pas \u00e9t\u00e9 ajout\u00e9 \u00e0 n\u2019importe quel fichier, mais \u00e0 la copie pirate d\u2019un produit de s\u00e9curit\u00e9<\/em>\u00a0: le pare-feu Little Snitch. Comme on pouvait s\u2019y attendre, les utilisateurs qui ont essay\u00e9 d\u2019\u00e9conomiser un peu d\u2019argent en ne payant pas la licence du produit, ont eu droit \u00e0 un v\u00e9ritable casse-t\u00eate.<\/p>\n

La version infect\u00e9e du pare-feu s\u2019est r\u00e9pandue \u00e0 travers les torrents. Les victimes ont t\u00e9l\u00e9charg\u00e9 une archive ZIP qui contenait une image disque au format DMG sur leurs ordinateurs. Rien d\u2019\u00e9trange jusque-l\u00e0. Si nous analysons de plus pr\u00e8s le contenu de ce fichier DMG, nous remarquons qu\u2019il y a un fichier MonoBundle avec un certain fichier installer.exe \u00e0 l\u2019int\u00e9rieur. Il n\u2019est pas normal d\u2019avoir ce genre de fichier sous macOS, puisque les fichiers EXE ne s\u2019ex\u00e9cutent pas sur les machines Mac.<\/p>\n

Le pare-feu d\u00e9tourne le regard<\/h3>\n

En r\u00e9alit\u00e9, les fichiers ex\u00e9cutables Windows sont si insupportables sous macOS que Gatekeeper (un dispositif de s\u00e9curit\u00e9 de macOS qui emp\u00eache les programmes malveillants de s\u2019ex\u00e9cuter) ignore tout simplement les fichiers EXE. C\u2019est assez compr\u00e9hensible\u00a0: il n\u2019est pas vraiment logique de surcharger le syst\u00e8me en lui demandant d\u2019analyser des fichiers qui vont de toute \u00e9vidence rester inactifs, surtout si un des arguments de vente d\u2019Apple est la vitesse de fonctionnement.<\/p>\n

Tout irait bien s\u2019il n\u2019y avait pas un \u00ab\u00a0mais\u00a0\u00bb : de nombreux programmes sont disponibles sous Windows et les utilisateurs de Mac en ont parfois besoin. Il existe donc plusieurs solutions permettant d\u2019ex\u00e9cuter des fichiers qui ne sont pas natifs de la plateforme. C\u2019est notamment le cas du framework<\/a><\/em> Mono, un syst\u00e8me gratuit qui permet aux utilisateurs d\u2019ex\u00e9cuter les applications Windows sous d\u2019autres syst\u00e8mes d\u2019application, y compris macOS.<\/p>\n

Comme vous pouvez le deviner, les cybercriminels exploitent ce framework<\/em>. La plateforme de d\u00e9veloppement a g\u00e9n\u00e9ralement besoin d\u2019\u00eatre install\u00e9e s\u00e9par\u00e9ment sur l\u2019ordinateur, mais les escrocs informatiques ont trouv\u00e9 une m\u00e9thode qui leur permet de l\u2019inclure avec le malware. Vous vous souvenez du sinistre fichier EXE qui appara\u00eet dans le dossier MonoBundle\u00a0? Par cons\u00e9quent, le malware s\u2019ex\u00e9cute sans probl\u00e8me, et m\u00eame sur les ordinateurs Mac de personnes qui n\u2019utilisent que des programmes natifs.<\/p>\n

Histoire d\u2019infections : spyware et adware<\/h3>\n

De suite apr\u00e8s son installation, le malware commence \u00e0 collecter des informations sur le syst\u00e8me infect\u00e9. Les cybercriminels sont particuli\u00e8rement int\u00e9ress\u00e9s par le nom du mod\u00e8le, les identifiants de l\u2019appareil, les caract\u00e9ristiques du processeur, la RAM, et bien d\u2019autres choses. Le malware recueille et envoie des informations relatives aux applications install\u00e9es \u00e0 son serveur C&C<\/a>.<\/p>\n

En m\u00eame temps, il t\u00e9l\u00e9charge plusieurs images suppl\u00e9mentaires sur l\u2019ordinateur infect\u00e9, et cache les installeurs en faisant croire qu\u2019il s\u2019agit de Adobe Flash Media Player, ou Little Snitch, alors qu\u2019en r\u00e9alit\u00e9 ce sont les outils habituellement utilis\u00e9s par les adwares, dont les banni\u00e8res vous g\u00eanent.<\/p>\n

Comment se prot\u00e9ger<\/h3>\n

La morale de cette histoire est simple\u00a0: dans un monde o\u00f9 r\u00e8gnent les technologies de l\u2019information, aucun syst\u00e8me n\u2019est parfaitement s\u00e9curis\u00e9. Vous ne pouvez pas faire aveugl\u00e9ment confiance aux logiciels de protection int\u00e9gr\u00e9s, m\u00eame s\u2019ils sont consid\u00e9r\u00e9s comme fiables. Voici quelques conseils pour que vous sachiez comment prot\u00e9ger votre ordinateur des malwares malins.<\/p>\n

    \n
  • N\u2019installez jamais la version pirat\u00e9e d\u2019une application. Si vous avez vraiment besoin du programme, et n\u2019\u00eates pas du tout dispos\u00e9 \u00e0 le payer, alors essayez d\u2019abord de trouver une alternative gratuite.<\/li>\n
  • T\u00e9l\u00e9chargez toujours les applications \u00e0 partir de sources officielles\u00a0: l\u2019App Store ou le site Internet du d\u00e9veloppeur.<\/li>\n
  • Si vous d\u00e9cidez de t\u00e9l\u00e9charger une application \u00e0 partir d\u2019une source non officielle, par exemple un traqueur torrent, comme nous l\u2019avons dit plus t\u00f4t, v\u00e9rifiez minutieusement quel fichier est v\u00e9ritablement t\u00e9l\u00e9charg\u00e9. Tout fichier suppl\u00e9mentaire qui se trouve dans le pack d\u2019installation devrait \u00e9veiller vos soup\u00e7ons.<\/li>\n
  • Utilisez un antivirus de confiance qui analyse tous les fichiers suspects, sans exception.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"

    Tout le monde sait que les fichiers EXE peuvent \u00eatre dangereux pour les ordinateurs sous Windows, mais il s\u2019av\u00e8re que les fichiers EXE peuvent aussi infecter macOS.<\/p>\n","protected":false},"author":2484,"featured_media":11616,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[9,686],"tags":[599],"class_list":{"0":"post-11615","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-threats","9":"tag-macos"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/macos-exe-malware\/11615\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/macos-exe-malware\/15574\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/macos-exe-malware\/13118\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/macos-exe-malware\/17495\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/macos-exe-malware\/15643\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/macos-exe-malware\/14327\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/macos-exe-malware\/18208\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/macos-exe-malware\/17143\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/macos-exe-malware\/22564\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/macos-exe-malware\/5847\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/macos-exe-malware\/26343\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/macos-exe-malware\/11658\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/macos-exe-malware\/10576\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/macos-exe-malware\/18972\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/macos-exe-malware\/22857\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/macos-exe-malware\/18219\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/macos-exe-malware\/22426\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/macos-exe-malware\/22362\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/macos\/","name":"MacOS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11615","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2484"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=11615"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11615\/revisions"}],"predecessor-version":[{"id":12686,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11615\/revisions\/12686"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/11616"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=11615"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=11615"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=11615"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}