Apple vantait autrefois le fait que les Macs ne contractaient pas de virus, et bien qu’Apple dispose définitivement d’un bon logiciel anti-malware, leurs machines ne sont en aucun cas imparables face aux infections. Et avec la popularité croissante des Macs, il existe encore plus de logiciels malveillants, prêts à voler vos données et à gâcher votre journée. Les dernières menaces peuvent même capturer des screenshots de ce qui s’affiche sur le moniteur de votre Mac sans votre consentement.
Des chercheurs de Kandji ont découvert la menace qui cible les Macs, et ce n’est pas une bonne nouvelle. Kandji signale que ce nouveau malware, qu’ils ont nommé “Cuckoo,” est un mélange entre un spyware et un voleur d’informations. Ils l’ont trouvé dans des applications hébergées par un site appelé “DumpMedia,” qui prétendait convertir des chansons de services de streaming en MP3.
Lorsque les chercheurs ont téléchargé l’une de ces applications, ils ont remarqué que le DMG, qui permet d’installer l’application sur votre Mac, avait des instructions d’installation différentes de la plupart des DMGs : au lieu de faire glisser l’application dans votre dossier Applications, ce DMG demandait aux utilisateurs de faire un clic droit sur l’application et de choisir “Ouvrir.” À l’insu de nombreux utilisateurs, cette action contourne certaines fonctionnalités de sécurité qui constituent les premières lignes de défense pour les applications nouvellement installées téléchargées depuis le web.
Plutôt que de suivre ces instructions suspectes, les chercheurs ont choisi “Afficher le contenu du paquet” afin de voir ce que l’application cachait. Bien qu’ils aient trouvé un ensemble d’apparence légitime “DumpMedia Spotify Music Converter”, ils ont également trouvé un fichier exécutable suspect qui n’avait pas d’ID de développeur. Cela aurait normalement déclenché le programme Gatekeeper d’Apple pour bloquer l’ouverture de l’application—d’où le fait que les développeurs malveillants incitent les victimes potentielles à contourner ces protections sans le savoir.
Les chercheurs ont ensuite testé le logiciel en l’ouvrant et ont constaté qu’il commençait immédiatement à recueillir des informations sur la machine et à exécuter une longue liste de processus. Fait intéressant, le programme ne continuera pas s’il détecte que l’ordinateur est basé en Arménie, en Biélorussie, au Kazakhstan, en Russie ou en Ukraine. Après d’autres processus, il demande sournoisement votre mot de passe avec un message “macOS a besoin d’accéder aux Réglages Système.” Une fois que vous l’avez entré, le programme enregistre votre mot de passe. Il vérifie ensuite que le mot de passe est correct.
À partir de là, le programme demande la permission d’accéder au Finder, aux Téléchargements et à votre microphone, puis continue à extraire des détails sur le matériel de votre Mac, avant de fouiller les fichiers de Safari (y compris les favoris, les cookies et l’historique), Notes et Trousseau (qui contient vos mots de passe). Comme si cela n’était pas assez intrusif, le malware initie ensuite la fonction de capture d’écran, en désactivant même vos haut-parleurs chaque fois qu’il prend une capture d’écran, afin que vous n’entendiez pas le son et ne réalisiez pas ce qui se passe.
Tout cela se déroule tandis qu’il y a un programme réel fonctionnant comme annoncé, maintenant la victime dans l’ignorance de tout le traitement néfaste s’activant en arrière-plan. Selon les chercheurs, DumpMedia n’est qu’un des sites hébergeant ces applications malveillantes. D’autres, comme TuneSolo, FoneDog, TunesFun et TuneFab, hébergent également des applications de conversion de streaming similaires, ainsi que des outils de récupération Android présentant le même malware.
Comment protéger votre Mac contre ce malware et d’autres
Cette histoire rappelle à quel point il est important d’être prudent lors du téléchargement d’applications directement depuis le web sur vos appareils, que ce soit un Mac, un PC, un Android ou un appareil iOS (du moins dans l’Union européenne). Bien qu’il existe de nombreuses applications légitimes sur Internet (contrairement à celles disponibles dans un magasin d’applications comme Google Play ou l’App Store iOS), beaucoup ne le sont pas, il est donc important de vérifier chaque programme avant de le télécharger.
Renseignez-vous sur l’application, et voyez si d’autres ont eu des expériences positives avec elle ainsi qu’avec son site d’hébergement. En parlant de cela, il est plus sûr de télécharger des applications directement depuis le développeur : si DumpMedia héberge une application tierce, par exemple, c’est plus risqué que si le développeur de l’application l’offre directement.
De plus, ne contournez jamais les défenses anti-malware intégrées de votre Mac. Vous ne saviez peut-être pas que faire un clic droit sur une application et l’ouvrir au lieu de la faire glisser dans le dossier Applications contourne Gatekeeper, mais c’est le cas. Si vous suivez le processus normal et que macOS indique qu’il y a un problème avec l’application, croyez-le. Téléchargez vos applications depuis l’App Store officiel d’Apple lorsque cela est possible, et lorsque vous ne le pouvez pas, faites preuve d’une prudence supplémentaire.
