Comme nous l’avons déjà dit plusieurs fois, l’idée selon laquelle macOS est invulnérable est un mythe. Les cybercriminels ont récemment découvert une autre méthode leur permettant de contourner, dans la plus grande discrétion, le mécanisme de défense intégré de macOS. Ils recueillent les données du système infecté puis les ajoutent à l’adware en utilisant des fichiers ayant une extension EXE, qui d’habitude ne s’exécutent que sous Windows. Un fichier EXE qui pourrait infecter les utilisateurs Mac ? Plutôt étrange, mais cette technique est bel et bien efficace.
L’histoire d’une infection : un pare-feu piraté et accompagné d’un malware EXE
Il est assez ironique de constater que ce malware n’a pas été ajouté à n’importe quel fichier, mais à la copie pirate d’un produit de sécurité : le pare-feu Little Snitch. Comme on pouvait s’y attendre, les utilisateurs qui ont essayé d’économiser un peu d’argent en ne payant pas la licence du produit, ont eu droit à un véritable casse-tête.
La version infectée du pare-feu s’est répandue à travers les torrents. Les victimes ont téléchargé une archive ZIP qui contenait une image disque au format DMG sur leurs ordinateurs. Rien d’étrange jusque-là. Si nous analysons de plus près le contenu de ce fichier DMG, nous remarquons qu’il y a un fichier MonoBundle avec un certain fichier installer.exe à l’intérieur. Il n’est pas normal d’avoir ce genre de fichier sous macOS, puisque les fichiers EXE ne s’exécutent pas sur les machines Mac.
Le pare-feu détourne le regard
En réalité, les fichiers exécutables Windows sont si insupportables sous macOS que Gatekeeper (un dispositif de sécurité de macOS qui empêche les programmes malveillants de s’exécuter) ignore tout simplement les fichiers EXE. C’est assez compréhensible : il n’est pas vraiment logique de surcharger le système en lui demandant d’analyser des fichiers qui vont de toute évidence rester inactifs, surtout si un des arguments de vente d’Apple est la vitesse de fonctionnement.
Tout irait bien s’il n’y avait pas un « mais » : de nombreux programmes sont disponibles sous Windows et les utilisateurs de Mac en ont parfois besoin. Il existe donc plusieurs solutions permettant d’exécuter des fichiers qui ne sont pas natifs de la plateforme. C’est notamment le cas du framework Mono, un système gratuit qui permet aux utilisateurs d’exécuter les applications Windows sous d’autres systèmes d’application, y compris macOS.
Comme vous pouvez le deviner, les cybercriminels exploitent ce framework. La plateforme de développement a généralement besoin d’être installée séparément sur l’ordinateur, mais les escrocs informatiques ont trouvé une méthode qui leur permet de l’inclure avec le malware. Vous vous souvenez du sinistre fichier EXE qui apparaît dans le dossier MonoBundle ? Par conséquent, le malware s’exécute sans problème, et même sur les ordinateurs Mac de personnes qui n’utilisent que des programmes natifs.
Histoire d’infections : spyware et adware
De suite après son installation, le malware commence à collecter des informations sur le système infecté. Les cybercriminels sont particulièrement intéressés par le nom du modèle, les identifiants de l’appareil, les caractéristiques du processeur, la RAM, et bien d’autres choses. Le malware recueille et envoie des informations relatives aux applications installées à son serveur C&C.
En même temps, il télécharge plusieurs images supplémentaires sur l’ordinateur infecté, et cache les installeurs en faisant croire qu’il s’agit de Adobe Flash Media Player, ou Little Snitch, alors qu’en réalité ce sont les outils habituellement utilisés par les adwares, dont les bannières vous gênent.
Comment se protéger
La morale de cette histoire est simple : dans un monde où règnent les technologies de l’information, aucun système n’est parfaitement sécurisé. Vous ne pouvez pas faire aveuglément confiance aux logiciels de protection intégrés, même s’ils sont considérés comme fiables. Voici quelques conseils pour que vous sachiez comment protéger votre ordinateur des malwares malins.
- N’installez jamais la version piratée d’une application. Si vous avez vraiment besoin du programme, et n’êtes pas du tout disposé à le payer, alors essayez d’abord de trouver une alternative gratuite.
- Téléchargez toujours les applications à partir de sources officielles : l’App Store ou le site Internet du développeur.
- Si vous décidez de télécharger une application à partir d’une source non officielle, par exemple un traqueur torrent, comme nous l’avons dit plus tôt, vérifiez minutieusement quel fichier est véritablement téléchargé. Tout fichier supplémentaire qui se trouve dans le pack d’installation devrait éveiller vos soupçons.
- Utilisez un antivirus de confiance qui analyse tous les fichiers suspects, sans exception.