Les pirates informatiques utilisent un nouveau malware Mac pour lancer des attaques contre les nouveaux Mac exécutant Apple Silicon ainsi que contre les anciens Mac équipés d'un processeur Intel.

Comme le rapporte The Hacker News, le malware en question a été surnommé Cuckoo par les chercheurs en sécurité de la société de gestion d'appareils Kandji. En plus de cibler à la fois les Mac plus récents et plus anciens, ce qui distingue Cuckoo est qu'il se comporte comme un croisement entre un malware voleur d'informations et un logiciel espion.

Dans un article de blog, Adam Kohler et Christopher Lopez de Kandji expliquent qu'ils sont tombés sur un binaire Mach-O malveillant non détecté auparavant sur le site de suivi des logiciels malveillants VirusTotal avec le nom « DumpMedia Spotify Music Converter ». Ils ont ensuite recherché le nom du programme en ligne et ont découvert qu'il était distribué à partir d'un site appelé dumpmedia(.)com qui propose plusieurs applications pour aider les utilisateurs à pirater la musique des services de streaming en les convertissant en fichiers MP3.

Alors que le malware Cuckoo se propage actuellement sur les sites de piratage de musique, cette campagne pourrait facilement être modifiée pour le distribuer via d'autres fausses applications. Voici tout ce que vous devez savoir sur cette nouvelle menace de malware Mac, y compris quelques conseils sur la manière de protéger votre propre Mac contre les virus.

Établir la persistance et élever les privilèges

Après avoir téléchargé l'application DumpMedia Spotify Music Converter, les chercheurs ont découvert qu'elle contenait un ensemble d'applications. Ceci est intéressant car normalement, les applications macOS doivent simplement être glissées dans le dossier Applications – en revanche, celui-ci encourage les utilisateurs à faire un clic droit dessus puis à cliquer sur Ouvrir.

L'application trouvée dans le bundle a été signée sans identifiant de développeur, ce qui signifie que Gatekeeper d'Apple tentera de l'empêcher de s'exécuter. Cependant, si un utilisateur l’autorise à s’exécuter manuellement sur son ordinateur, le malware suivra alors son cours.

Tout comme le malware MacStealer, Cuckoo utilise un script pour afficher une fausse invite de mot de passe afin d'inciter les utilisateurs à saisir leur mot de passe système. Si les pirates à l'origine de ce malware obtiennent le mot de passe système d'une victime, ils peuvent alors élever les privilèges du malware sur la machine infectée.

Cuckoo prend ensuite note des applications installées sur le Mac désormais compromis, prend des captures d'écran et récupère les données du trousseau iCloud, d'Apple Notes, des navigateurs Web, des portefeuilles cryptographiques et des applications comme Discord, FileZilla, Steam et Telegram.

Il convient également de noter que Cuckoo utilise une technique appelée LaunchAgent pour établir la persistance sur un Mac infecté. De cette façon, même si vous redémarrez votre ordinateur, le malware s'exécutera toujours la prochaine fois que vous allumerez votre Mac. De même, le malware vérifie que le Mac ciblé ne se trouve pas en Arménie, en Biélorussie, au Kazakhstan, en Russie ou en Ukraine avant de commencer à voler des données sensibles.

Comment se protéger des logiciels malveillants sur Mac

Un cadenas posé à côté du logo Apple sur le couvercle d’un ordinateur portable Apple doré.

Comme c'est souvent le cas avec d'autres souches de logiciels malveillants, Cuckoo se propage actuellement sur des sites de piratage. En plus d’être illégal et nuisible pour les créateurs, le piratage de contenu en ligne est généralement un moyen infaillible de se retrouver avec une méchante infection par un logiciel malveillant.

Bien que votre Mac soit livré avec un logiciel antivirus intégré sous la forme de XProtect d'Apple, vous pouvez également envisager d'utiliser l'une des meilleures solutions logicielles antivirus pour Mac. Ces programmes antivirus payants ont tendance à recevoir des mises à jour plus régulièrement, sont dotés de plus de fonctionnalités et vous donnent souvent accès à des extras comme un VPN ou un gestionnaire de mots de passe.

Nous pourrions voir les pirates derrière cette campagne trouver un autre moyen de distribuer le nouveau malware Cuckoo, par exemple via des e-mails de phishing ou des applications malveillantes. Pour l’instant cependant, si vous évitez les sites proposant un moyen de télécharger de la musique à partir de services de streaming, vous devriez être en sécurité.