Si vous n’avez pas encore mis à jour la dernière version de macOS, le moment est venu de le faire, car les chercheurs en sécurité ont identifié une nouvelle campagne qui utilise de faux ensembles d’applications pour installer des logiciels malveillants sur les Mac d’utilisateurs peu méfiants.
Dans un récent article de blog, les spécialistes des malwares mac d’Objective-See ont décrit un exploit qui pourrait permettre à un attaquant de créer un faux ensemble d’applications en utilisant un script comme exécutable principal afin de contourner la quarantaine de fichiers, le Gatekeeper et la notarisation sous macOS.
Bien que cet exploit ne fonctionne que sur les versions de macOS antérieures à la version 11.3, l’équipe de détection de Jamf Protect a observé que cet exploit était utilisé dans la nature par une variante du malware Shlayer utilisé pour supprimer les logiciels publicitaires. Cette nouvelle variante a également été reconditionnée pour utiliser un format nécessaire à la réalisation de la vulnérabilité de contournement de Gatekeeper.
L’une des façons dont cette campagne se propage consiste à utiliser des résultats de recherche empoisonnés. Les cybercriminels créent souvent de fausses pages Web et détournent les résultats des moteurs de recherche afin de propager des logiciels malveillants et d’autres virus. C’est pourquoi les utilisateurs doivent rester vigilants en ligne même lorsqu’ils utilisent un moteur de recherche légitime comme Google.
Sommaire
Utilisation abusive du contournement de Gatekeeper
Afin d’abuser de cette vulnérabilité, un attaquant devrait créer un bundle d’application en utilisant un script comme exécutable principal et ne pas créer un fichier Info.plist. Cette application devra alors être placée dans un fichier dmg pour distribution. Lorsque le dmg est monté et double-cliqué, la combinaison d’une application basée sur un script sans fichier Info.plist s’exécute sans aucune vérification de mise en quarantaine, de signature ou de notarisation.
La mise à jour de votre Mac vers la dernière version de macOS est le moyen le plus simple d’éviter d’être victime d’attaques lancées à l’aide de cette méthode, car cette vulnérabilité a été corrigée avec la sortie de la version 11.3 de macOS plus tôt dans la journée. Si un utilisateur tente d’exécuter le malware Shlayer sur une version corrigée de macOS, il verra une fenêtre contextuelle indiquant que le logiciel «ne peut pas être ouvert car le développeur ne peut pas être identifié».
Alors que les utilisateurs de macOS exécutant la dernière version du système d’exploitation d’Apple sont protégés pour le moment, l’équipe de détection de Jamf Protect souligne dans un nouveau billet de blog que «Shlayer continue de se réintroduire avec des moyens innovants d’infecter les systèmes basés sur macOS».
Alors que les Mac sont devenus plus répandus sur le lieu de travail que les ordinateurs portables professionnels, les cybercriminels en ont pris note et ils développent désormais activement des logiciels malveillants Mac pour infecter encore plus d’utilisateurs.
