Pendant des années, beaucoup ont cru que les Mac étaient plus sûrs que les PC. Ce n'était pas forcément parce qu'Apple était parfait, mais surtout parce que les pirates informatiques s'en prenaient principalement aux utilisateurs de Windows. Maintenant que les Mac sont omniprésents, les cybercriminels y prêtent une attention bien plus soutenue.
Un nouveau rapport de Jamf Threat Labs révèle la présence d'un virus particulièrement sournois. Il excelle à se faire passer pour un programme normal et sûr. Ce rapport nous alerte sur le fait que, plus ces appareils gagnent en popularité, plus ils deviennent des cibles privilégiées pour des attaques sophistiquées.
Voler la confiance pour contourner la sécurité
Le plus inquiétant dans cette découverte, c'est la façon dont les pirates contournent les contrôles de sécurité d'Apple. Normalement, les applications téléchargées en dehors de l'App Store nécessitent une « autorisation » numérique appelée certificat d'identifiant de développeur. Or, les pirates achètent ou volent ces certificats sur le marché noir. Comme le logiciel malveillant est signé avec un identifiant Apple authentique, il apparaît parfaitement légal aux yeux du système d'exploitation. Cela lui permet de passer outre les avertissements standards qui empêchent généralement l'exécution des applications non vérifiées.
Une arnaque astucieuse
Les pirates utilisent une astuce ingénieuse pour contourner les analyses automatisées d'Apple. Lorsqu'ils soumettent leur code pour approbation, ils envoient une version « propre » qui ne présente aucun problème. Cette enveloppe inoffensive est écrite en Swift, un langage courant pour les applications Mac. Une fois le programme installé par l'utilisateur, l'application attend d'être correctement enregistrée sur l'ordinateur avant de se connecter à un serveur distant. Ce n'est qu'à ce moment-là qu'elle télécharge le virus. En conservant le code malveillant dans le cloud jusqu'au dernier moment, les pirates rendent leur détection quasi impossible lors des analyses initiales.
Nouvelles méthodes d'infection
Cette menace spécifique est une nouvelle version du voleur de MacSync. Auparavant, ce virus tentait d'inciter les utilisateurs à saisir des commandes complexes sur leur ordinateur. Cette nouvelle version est beaucoup plus furtive et automatisée. Elle se dissimule dans un faux programme d'installation qui ressemble à une application de messagerie classique. Une fois ouvert, ce programme exécute un script caché en arrière-plan, sans aucun avertissement. Il contient même des fichiers « leurres », comme de faux PDF, afin de masquer sa taille et d'échapper à la détection des outils de sécurité.
Éviter d'être détecté et la réponse d'Apple
Les auteurs de ce logiciel malveillant ont mis en œuvre plusieurs techniques pour le dissimuler. Le programme s'assure que vous êtes connecté à Internet et utilise même un minuteur pour éviter de s'exécuter trop souvent et d'être détecté. Ceci empêche l'ordinateur de ralentir, ce qui pourrait alerter l'utilisateur. Alors que certains logiciels de sécurité sont passés complètement à côté de la menace, Jamf a réussi à la localiser. Ils ont signalé les identifiants volés à Apple, qui a depuis annulé les certificats pour stopper la propagation du virus.
Source à partir de Gizchina
Avis de non-responsabilité : Les informations ci-dessus sont fournies par gizchina.com, indépendamment d'Alibaba.com. Alibaba.com ne fait aucune déclaration ni ne donne aucune garantie quant à la qualité et à la fiabilité du vendeur et des produits. Alibaba.com décline expressément toute responsabilité en cas de violation des droits d'auteur sur le contenu.
