Des Cybercriminels Utilisent Python Pour Attaquer Windows et Mac Simultanément
TL;DR
Les cybercriminels étendent leurs opérations pour cibler les utilisateurs de macOS, le système d'exploitation d'Apple, ainsi que Windows. En utilisant le langage de programmation Python, qui est multiplateforme, ces attaques deviennent plus efficaces et étendues.
Les cybercriminels étendent leurs opérations pour cibler les utilisateurs de macOS, le système d'exploitation d'Apple, ainsi que Windows. En utilisant le langage de programmation Python, qui est multiplateforme, ces attaques deviennent plus efficaces et étendues.
Microsoft note que l'utilisation de Python permet aux attaquants de "réutiliser des codes et de cibler des environnements hétérogènes avec un minimum de surcharge", ce qui économise du temps et maximise l'impact des attaques.
Python, par sa nature, permet aux criminels de développer des malwares qui fonctionnent sur divers systèmes d'exploitation sans grandes modifications. Ainsi, un programme malveillant peut être rapidement adapté à la fois pour Windows et macOS.
Ce changement dans le paysage des attaques est significatif, car le macOS a historiquement présenté une perception de sécurité supérieure, ce qui a conduit de nombreux utilisateurs à une fausse sensation de protection.
ClickFix a Transformé le Scénario
Le point d'entrée le plus commun dans ces attaques est la technique de malvertising, où des annonces malveillantes sont affichées sur des plateformes de recherche comme Google Ads. Ces annonces se déguisent en légitimes et ciblent des utilisateurs à la recherche d'applications populaires.
Lorsqu'une victime clique sur une annonce apparemment légitime, elle est redirigée vers un site frauduleux imitant le site original. Sur ces sites, des instructions sont offertes qui promettent de résoudre des problèmes techniques ou de fournir des téléchargements de logiciels.
La technique ClickFix est utilisée, incluant des commandes qui amènent la victime à copier et coller des instructions dans le Terminal de macOS. Le Terminal est une interface qui permet l'exécution de commandes directement sur le système, pouvant accorder des permissions élevées au malware.
Extraction de Données comme Objectif Principal
Les fichiers malveillants sont généralement des installateurs au format DMG, spécifiques à macOS, similaires aux fichiers exécutables .exe de Windows. Ce malware est conçu pour voler des informations de la victime.
Parmi les variantes connues de malware, on trouve le Atomic macOS Stealer, MacSync et DigitStealer, tous ayant pour objectif commun d'extraire des données précieuses.
Ces attaques se distinguent par leur sophistication, utilisant des fonctionnalités légitimes de macOS pour opérer sans enregistrer de fichiers sur le disque dur, rendant la détection plus difficile. Les criminels exploitent des utilitaires natifs et le langage d'automatisation AppleScript, compliquant l'identification par les antivirus.
Le malware recherche des identifiants de navigateurs, comme des mots de passe enregistrés, ainsi que des informations du iCloud Keychain, qui centralise les identifiants stockés.
Persistance du Malware dans le Système
Une fois installé, le malware vise à garantir sa présence dans le système. Sur macOS, cela peut se faire par le biais de la modification des listes de propriétés (plists) ou par la création d'agents de lancement, fonctionnant comme une analogie aux clés de registre de Windows.
La communication entre le malware et les criminels se fait par le biais de canaux déguisés, tels que l'application de messagerie Telegram, utilisée pour le contrôle à distance et l'envoi de données volées.
WhatsApp Comme Vecteur de Distribution
Microsoft met en garde contre des campagnes utilisant WhatsApp pour diffuser des malwares, tels que le Eternité Stealer, où des messages de contacts connus ou de groupes contiennent des liens qui installent le malware.
Cette méthode est efficace, car la confiance dans les messages de WhatsApp réduit la méfiance de l'utilisateur. Un autre vecteur implique de faux éditeurs de PDF qui, via un SEO empoisonné, apparaissent dans les recherches telles que "éditeur de PDF gratuit".
En installant ces outils, la victime active un infostealer qui collecte des données des navigateurs installés.
Conséquences Pour les Utilisateurs et les Entreprises
Les impacts des attaques s'étendent au-delà du vol de mots de passe. L'accès à des identifiants d'entreprise implique des risques pour la sécurité des informations sensibles et l'accès à des systèmes d'entreprise, pouvant entraîner des fraudes financières et des attaques de ransomware.
Mesures de Protection
Microsoft recommande diverses pratiques de sécurité pour minimiser les risques :
- L'éducation sur le fonctionnement des annonces malveillantes et la méfiance envers les messages et téléchargements suspects ;
- La surveillance des activités dans le Terminal, qui peut signaler un compromis ;
- Le suivi des accès au iCloud Keychain, afin d'éviter des accès non autorisés ;
- L'analyse du trafic réseau à la recherche de demandes suspectes indiquant une exfiltration de données.
Contenu selectionne et edite avec assistance IA. Sources originales referencees ci-dessus.
