{"id":21320,"date":"2023-12-15T17:07:34","date_gmt":"2023-12-15T15:07:34","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21320"},"modified":"2023-12-15T17:07:34","modified_gmt":"2023-12-15T15:07:34","slug":"macos-users-cyberthreats-2023","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/macos-users-cyberthreats-2023\/21320\/","title":{"rendered":"Les Mac sont-ils s\u00fbrs ? Menaces contre les utilisateurs de macOS"},"content":{"rendered":"

De nombreux utilisateurs Apple pensent que le syst\u00e8me d\u2019exploitation macOS est si s\u00e9curis\u00e9 qu\u2019aucune cybermenace ne peut leur nuire. Ils n\u2019ont donc pas \u00e0 se soucier de la protection de leurs appareils. Cependant, c\u2019est loin d\u2019\u00eatre le cas\u00a0: s\u2019il existe<\/em> moins de programmes malveillants pour macOS, ils sont toujours beaucoup plus courants que les propri\u00e9taires d\u2019appareils Apple voudraient le croire.<\/p>\n

Dans cet article, nous abordons les menaces auxquelles les utilisateurs de macOS sont actuellement confront\u00e9s et la mani\u00e8re de prot\u00e9ger efficacement leur Mac. Pour illustrer le fait que les virus pour macOS existent bel et bien, nous nous pencherons sur trois \u00e9tudes r\u00e9centes portant sur plusieurs familles de programmes malveillants et publi\u00e9es au cours des derni\u00e8res semaines.<\/p>\n

BlueNoroff s\u2019attaque aux utilisateurs de macOS et leur vole des cryptomonnaies.<\/h2>\n

Fin octobre\u00a02023, nos chercheurs ont d\u00e9couvert un nouveau cheval de Troie macOS<\/a> qui serait associ\u00e9 \u00e0 BlueNoroff<\/a>, la \u00a0\u00bb\u00a0branche commerciale\u00a0\u00a0\u00bb du groupe APT Lazarus<\/a> travaillant pour la Cor\u00e9e du Nord. Ce sous-groupe est sp\u00e9cialis\u00e9 dans les attaques financi\u00e8res et se concentre plus particuli\u00e8rement sur deux choses\u00a0: premi\u00e8rement, les attaques contre le syst\u00e8me SWIFT \u2013 y compris le c\u00e9l\u00e8bre casse de la banque centrale du Bangladesh<\/a> \u2013 et, deuxi\u00e8mement, le vol de cryptomonnaies aux organisations et aux particuliers.<\/p>\n

Le programme de t\u00e9l\u00e9chargement du cheval de Troie<\/a> macOS d\u00e9tect\u00e9 se propage dans des archives malveillantes. Il se pr\u00e9sente sous la forme d\u2019un document PDF intitul\u00e9 \u00a0\u00bb\u00a0Les cryptomonnaies et leurs risques pour la stabilit\u00e9 financi\u00e8re\u00a0\u00ab\u00a0, avec une ic\u00f4ne qui reproduit un aper\u00e7u de ce document.<\/p>\n

\"BlueNoroff\/RustBucket<\/a>

] Page de couverture du fichier PDF trompeur que le cheval de Troie t\u00e9l\u00e9charge et pr\u00e9sente \u00e0 l\u2019utilisateur lors du lancement du fichier depuis une archive infect\u00e9e. Source<\/a><\/p><\/div>\n

Lorsque l\u2019utilisateur clique sur le cheval de Troie (qui se fait passer pour un document PDF), un script est ex\u00e9cut\u00e9, puis t\u00e9l\u00e9charge r\u00e9ellement le document PDF correspondant sur Internet et l\u2019ouvre. Mais, bien s\u00fbr, ce n\u2019est pas tout. La t\u00e2che principale du cheval de Troie est de t\u00e9l\u00e9charger un autre virus, qui recueille des informations sur le syst\u00e8me infect\u00e9, les envoie au C2, puis attend une commande pour effectuer l\u2019une des deux actions possibles\u00a0: l\u2019autodestruction ou l\u2019enregistrement dans un fichier et l\u2019ex\u00e9cution d\u2019un code malveillant envoy\u00e9 en r\u00e9ponse par le serveur.<\/p>\n

Un cheval de Troie proxy dans un logiciel pirat\u00e9 pour macOS<\/h2>\n

Fin novembre\u00a02023, nos enqu\u00eateurs ont d\u00e9couvert un autre exemple de programme malveillant qui menace les utilisateurs Mac\u00a0: un cheval de Troie proxy, distribu\u00e9 avec un logiciel pirat\u00e9 pour macOS. Plus pr\u00e9cis\u00e9ment, ce cheval de Troie a \u00e9t\u00e9 ajout\u00e9 aux fichiers PKG des programmes de montage vid\u00e9o, des outils de r\u00e9cup\u00e9ration de donn\u00e9es, des utilitaires r\u00e9seau, des convertisseurs de fichiers et de divers autres logiciels pirat\u00e9s. La liste compl\u00e8te des programmes d\u2019installation infect\u00e9s d\u00e9couverts par nos experts se trouve \u00e0 la fin du rapport publi\u00e9 sur Securelist<\/a>.<\/p>\n

Comme indiqu\u00e9 pr\u00e9c\u00e9demment, ce programme malveillant appartient \u00e0 la cat\u00e9gorie des chevaux de Troie proxy\u00a0: un programme malveillant qui configure un serveur proxy sur l\u2019ordinateur infect\u00e9, cr\u00e9ant essentiellement un h\u00f4te pour rediriger le trafic Internet. Par la suite, les cybercriminels peuvent utiliser ces appareils infect\u00e9s pour construire un r\u00e9seau payant de serveurs proxy, en gagnant de l\u2019argent aupr\u00e8s de ceux qui recherchent de tels services.<\/p>\n

Les propri\u00e9taires du cheval de Troie peuvent \u00e9galement utiliser directement les ordinateurs infect\u00e9s pour mener des activit\u00e9s criminelles au nom de la victime, qu\u2019il s\u2019agisse de pirater des sites Internet, des entreprises ou d\u2019autres utilisateurs, ou d\u2019acheter des armes, de la drogue ou d\u2019autres biens ill\u00e9gaux.<\/p>\n

Le voleur Atomic dans de fausses mises \u00e0 jour du navigateur Safari<\/h2>\n

Toujours en novembre\u00a02023, une nouvelle campagne malveillante a \u00e9t\u00e9 d\u00e9couverte<\/a>. Elle diffuse un autre cheval de Troie pour macOS, appel\u00e9 Atomic, qui appartient \u00e0 la cat\u00e9gorie des voleurs<\/a>. Ce type de programme malveillant recherche, extrait et transmet \u00e0 ses cr\u00e9ateurs toutes sortes d\u2019informations pr\u00e9cieuses, trouv\u00e9es sur l\u2019ordinateur de la victime, et en particulier les donn\u00e9es enregistr\u00e9es dans les navigateurs. Les identifiants et mots de passe, les d\u00e9tails des cartes bancaires, les cl\u00e9s des portefeuilles de cryptomonnaies et d\u2019autres informations confidentielles similaires pr\u00e9sentent un int\u00e9r\u00eat particulier pour les voleurs.<\/p>\n

Le cheval de Troie Atomic a \u00e9t\u00e9 d\u00e9couvert et pr\u00e9sent\u00e9<\/a> pour la premi\u00e8re fois en mars\u00a02023. La nouveaut\u00e9, c\u2019est que les pirates informatiques ont commenc\u00e9 \u00e0 utiliser de fausses mises \u00e0 jour pour les navigateurs Safari et Chrome afin de propager le cheval de Troie Atomic. Ces mises \u00e0 jour sont t\u00e9l\u00e9charg\u00e9es depuis des pages malveillantes qui reproduisent de mani\u00e8re tr\u00e8s convaincante les sites Internet originaux d\u2019Apple et de Google.<\/p>\n

\"Fausses<\/a>

Un site proposant de fausses mises \u00e0 jour pour le navigateur Safari qui contiennent en r\u00e9alit\u00e9 le voleur Atomic. Source<\/a><\/p><\/div>\n

Une fois lanc\u00e9 sur le syst\u00e8me, le cheval de Troie Atomic tente de voler les informations suivantes sur l\u2019ordinateur de la victime\u00a0:<\/p>\n