Une nouvelle variante de MacSync Stealer a réussi à contourner les protections contre les logiciels malveillants d’Apple, selon des chercheurs en sécurité. Bien que les Macs restent des cibles difficiles en raison des protections mises en place par la firme de Cupertino, la montée en puissance des logiciels malveillants sur Mac est préoccupante.
Traditionnellement, deux raisons expliquaient la rareté des malwares sur Mac par rapport aux machines Windows. D’une part, la part de marché relativement faible des Macs et, d’autre part, les protections intégrées par Apple pour détecter et bloquer les applications malveillantes. Cependant, avec l’augmentation de la part de marché des Macs, leur attrait en tant que cible a également grandi, notamment en raison de la nature lucrative de la clientèle d’Apple, souvent vulnérable aux escroqueries financières.
Lors de l’installation d’une nouvelle application sur Mac, macOS vérifie si celle-ci a été notariée par Apple et signée par un développeur connu. Si ce n’est pas le cas, l’installation est bloquée, rendant le processus de contournement des protections assez compliqué.
Plus tôt ce mois-ci, des attaques utilisant ChatGPT pour tromper les utilisateurs de Mac en leur faisant coller une commande dans le Terminal ont été rapportées. Aujourd’hui, de nouvelles méthodes émergent, comme le souligne la société de cybersécurité Jamf.
Selon Jamf, le malware en question est une variante du MacSync Stealer, de plus en plus actif. Les attaquants utilisent une application Swift qui est signée et notariée, mais qui ne contient pas directement de malware. Cette application télécharge ensuite un script codé depuis un serveur distant, qui est exécuté pour installer le malware.
« Après avoir inspecté le binaire Mach-O, qui est une construction universelle, nous avons confirmé qu’il est à la fois signé et notarié. La signature est associée à l’identifiant d’équipe de développeur GNJLS3UYZ4. Nous avons également vérifié les hachages du répertoire de code contre la liste de révocation d’Apple, et au moment de l’analyse, aucun n’avait été révoqué », a déclaré Jamf.
Cette méthode est particulièrement efficace, car la plupart des charges utiles associées à MacSync Stealer s’exécutent principalement en mémoire et laissent peu ou pas de trace sur le disque. Jamf souligne que cette approche de contournement des protections est en plein essor dans le paysage macOS.
Les attaquants tentent de glisser leurs logiciels malveillants dans des exécutables signés et notariés, ce qui leur permet de ressembler davantage à des applications légitimes. En utilisant ces techniques, les adversaires réduisent les chances d’être détectés rapidement.
Jamf a signalé l’identifiant de développeur à Apple, qui a depuis révoqué le certificat en question.
Pour se protéger au mieux contre les malwares sur Mac, il est recommandé d’installer des applications uniquement depuis le Mac App Store ou depuis les sites de développeurs de confiance.
