Un nouveau malware s’attaque au Mac ! Des chercheurs ont découvert qu’un virus intitulé MetaStealer cherche actuellement à piller les données sensibles des utilisateurs. Pour arriver à ses fins, il se cache dans un fichier .dmg envoyé par mail…
Les chercheurs de SentinelOne, une entreprise américaine spécialisée en cybersécurité, ont découvert une nouvelle famille de malwares visant les Macs. Baptisé MetaStealer, le virus fait partie des « infostealer ». Il s’agit de logiciels malveillants programmés pour voler des informations sensibles sur un ordinateur infecté, comme des mots de passe, des détails de carte bancaire, et d’autres données personnelles.
Des fichiers .dmg malveillants
Les hackers derrière l’opération visent exclusivement les entreprises. Pour piéger les employés d’une société, les pirates se font passer pour un client potentiel. Après avoir brièvement discuté avec leur cible, les cybercriminels vont la convaincre d’installer un logiciel sur leur ordinateur. Une victime témoigne avoir reçu « un fichier zip protégé par mot de passe » contenant un fichier .dmg. Il s’agit d’une image disque capable d’installer une application sur le Mac.
Ce fichier est uniquement conçu pour installer le malware MetaStealer sur le système d’exploitation. Pour endormir la méfiance des cibles, les pirates n’hésitent pas à calibrer le nom du fichier. Les enquêteurs ont en effet découvert des fichiers intitulés « clauses de référence publicitaires (présentation MacOS).dmg » ou « CONCEPT A3 menu complet avec plats et traductions en anglais.dmg ».
Une fois installé, le logiciel malveillant va convaincre l’utilisateur de contourner GateKeeper, le mécanisme qui aide à protéger les utilisateurs contre les virus et les applications non sécurisées. Avant l’installation, celui-ci vérifie l’origine des applications téléchargées et s’assure qu’elles proviennent d’un développeur identifié et approuvé par Apple.
Cette précaution doit être contournée pour pouvoir installer une application qui ne provient pas de l’App Store, et les criminels en ont bien conscience. En effet, les utilisateurs peuvent ajuster les paramètres de Gatekeeper dans les préférences, dans la section Sécurité et confidentialité du système, pour permettre l’installation d’applications provenant de sources non autorisées.
Les chercheurs précisent que le maliciel vise d’abord les Macs animés par un processeur Intel. Les machines les plus récentes, propulsées par une puce développée par Apple Silicon, ne sont pas directement concernées. Pour se déployer sur un Mac avec une puce M1 ou M2, MetaStealer aurait besoin de passer par Rosetta, l’outil « d’émulation » des applications conçues pour processeur Intel sur les SoC ARM d’Apple.
Du code brouillé pour échapper à la détection
Pour éviter de déclencher des alertes de sécurité malgré tout, les pirates ont soigneusement brouillé le code du malware. Ils ont utilisé une technique répandue, baptisée l’obfuscation de code. Elle consiste à rendre le code d’un logiciel difficile à comprendre et à interpréter afin d’aveugler les antivirus. En brouillant le code, les pirates ont notamment tenté de cacher les fonctions d’exfiltration du logiciel.
Ce n’est pas le seul malware espion repéré sur macOS au cours des derniers mois. Des chercheurs ont également sonné l’alerte au sujet d’Atomic Stealer, un autre virus taillé pour voler des données, comme des noms d’utilisateurs, des mots de passe et des clés privées qui donnent accès à un wallet contenant des cryptomonnaies.
Citons aussi ShadowVault, un autre malware conçu pour piller les données d’un Mac. Pour SentinelOne, l’apparition d’un troisième Infostealer en quelques mois montre « que la tendance à cibler les utilisateurs de Mac pour leurs données continue de gagner en popularité ». N’hésitez donc pas à installer un antivirus sur votre Mac pour éviter les mauvaises surprises.
source : 01net