Un nouveau type de malware Mac se déguise en fichiers de crack CleanMyMac ou Photoshop pour voler les données des navigateurs et des portefeuilles cryptographiques. Voici comment rester en sécurité.
Selon le Moonlock Lab de MacPaw, les logiciels malveillants se présentent souvent comme des applications légitimes. Une fois installé, il peut utiliser AppleScript pour inciter les utilisateurs à révéler leurs mots de passe, voler les cookies des navigateurs comme Chrome et Safari et se supprimer s’il détecte qu’il s’exécute sur une machine virtuelle.
Le script commence par obtenir le nom d’utilisateur actuel du système ainsi que d’autres chemins système essentiels pour une utilisation ultérieure. Ensuite, créez un dossier temporaire pour stocker les données volées avant de les envoyer.
Les navigateurs Web comme Chrome et Safari peuvent également être exploités pour obtenir des informations sensibles sur les utilisateurs telles que l’historique de navigation, les cookies et les mots de passe enregistrés. Une autre caractéristique du script est sa capacité à trouver et à accéder aux portefeuilles cryptographiques les plus populaires. Il peut voler des fichiers de portefeuille, donnant potentiellement à l’attaquant l’accès aux actifs cryptographiques de la victime.
Les portefeuilles à risque incluent Electrum, Coinomi, Exodus, Atomic Wallet, Wasabi Wallet, Ledger Live, Feather (Monero), Bitcoin Core, Litecoin Core, Dash Core, Electrum-LTC, Electron Cash, Guarda Wallet, Dogecoin Core, Binance et TonKeeper.
Le script copie ensuite le fichier « login.keychain-db », qui contient les données du trousseau macOS telles que les mots de passe et les informations d’identification sensibles. Il récupère également les données d’Apple Notes en copiant « NoteStore.sqlite » et les fichiers associés.
La chaîne d’infection commence lorsqu’un utilisateur visite un site proposant des logiciels piratés et télécharge un fichier appelé CleanMyMacCrack.dmg. Le malware est en réalité une variante de « Atomic Stealer ». Initialement identifié en 2023, Atomic Stealer a évolué pour devenir plus difficile à détecter.
Le malware se cache dans les téléchargements de logiciels illégitimes, pénètre dans macOS en utilisant une erreur de l’utilisateur et reste caché à l’aide de scripts tout en volant des données sensibles.
Compte tenu de l’évolution de ces menaces, les utilisateurs de Mac doivent prendre des mesures proactives pour rester en sécurité. Téléchargez toujours les logiciels depuis le site officiel ou le Mac App Store et évitez les sites tiers susceptibles de proposer des versions crackées ou piratées.
Vérifiez l’URL pour tout indice, tel que des fautes d’orthographe ou des caractères inhabituels, et assurez-vous que le site est légitime avant de télécharger quoi que ce soit. La mise à jour régulière de macOS et de toutes les applications installées peut vous protéger contre les vulnérabilités connues.
Gatekeeper, une fonctionnalité intégrée de macOS, garantit que seules les applications signées et fiables peuvent être installées. Enfin, évitez de cliquer sur des liens suspects ou de télécharger des pièces jointes provenant de sources inconnues, car les cybercriminels utilisent souvent des tactiques de phishing pour propager des logiciels malveillants.
De plus, c’est une bonne pratique d’installer un bon antivirus sur macOS pour mieux se protéger et prévenir tout danger.