Nous avons récemment observé comment des attaquants ont utilisé ChatGPT pour tromper les utilisateurs de Mac et les inciter à installer MacStealer. Aujourd’hui, une nouvelle tactique a été mise en lumière, permettant d’inciter les utilisateurs à installer une version de MacSync Stealer.
Bien que les Mac restent une cible difficile pour les attaquants grâce aux protections d’Apple contre l’installation de logiciels malveillants, la montée en flèche des malwares sur Mac est préoccupante. Deux tactiques récemment découvertes par des chercheurs en sécurité montrent à quel point les attaquants font preuve de créativité.
Pourquoi les malwares sur Mac sont rares
Le marché limité des Macs a longtemps été un des facteurs expliquant la rareté des malwares par rapport aux machines Windows. En effet, la part de marché relativement faible et les protections intégrées par Apple pour détecter et bloquer les applications non autorisées sont des raisons significatives.
Avec l’augmentation de la part de marché des Macs, l’attrait de cette plateforme pour les attaquants a également crû, particulièrement en raison de sa base d’utilisateurs présente pour des arnaques financières.
Le processus d’installation complexe
Lorsqu’un utilisateur tente d’installer une nouvelle application sur Mac, macOS vérifie si celle-ci a été notariée par Apple et signée par un développeur connu. Si ce n’est pas le cas, le système le signale et le processus d’installation devient relativement compliqué pour contourner cette protection.
Une tactique innovante de MacSync Stealer
Une récente analyse par la société de cybersécurité Jamf révèle que le malware est une variante du MacSync Stealer, de plus en plus actif. Les attaquants se servent d’une application Swift, signée et notariée, qui ne contient en elle-même aucun malware. Cependant, cette application récupère un script codé depuis un serveur distant et l’exécute pour installer le malware.
Selon Jamf, après avoir inspecté le binaire Mach-O qui est une version universelle, il a été confirmé qu’il est à la fois signé et notarié, avec l’ID de l’équipe de développeur GNJLS3UYZ4. De plus, les hachages du répertoire de code ont été vérifiés par rapport à la liste de révocation d’Apple, sans aucune révocation au moment de l’analyse.
La plupart des charges utiles liées à MacSync Stealer fonctionnent principalement en mémoire, laissant peu ou pas de traces sur le disque.
Une tendance inquiétante
Cette stratégie de distribution est révélatrice d’une tendance plus large dans le paysage macOS du malware. Les attaquants cherchent de plus en plus à dissimuler leurs malwares dans des exécutables qui sont signés et notariés, leur permettant d’apparaître comme des applications légitimes.
Jamf a signalé l’ID développeur à Apple, et la société a depuis révoqué le certificat.
Comme toujours, la meilleure protection contre les malwares sur Mac consiste à installer des applications uniquement depuis le Mac App Store et les sites des développeurs de confiance.
