Un malware de plus en plus dangereux s’attaque aux utilisateurs de Mac. Une nouvelle version d’Atomic, un virus spécialisé dans le vol de données sur macOS, intègre désormais une porte dérobée qui permet aux pirates de prendre le contrôle à distance de l’ordinateur. Des milliers de Mac sont dans le viseur du logiciel malveillant.
Une nouvelle version d’Atomic a été découverte par le chercheur indépendant g0njxa. Après avoir repéré la trace du nouveau malware, spécialisé dans le vol de données sur macOS, le chercheur a prévenu Moonlock, la division de sécurité de MacPaw. L’entreprise d’origine ukrainienne s’est rapidement penchée sur le virus.
À lire aussi : Des failles de sécurité dans les logiciels de Microsoft fragilisent les Mac
Une porte dérobée menace macOS
Identifié pour la première fois en avril 2023, Atomic est conçu pour voler les fichiers stockés sur le Mac, les mots de passe et les clés privées enregistrées par des navigateurs web. Comme le soulignent les chercheurs, les campagnes reposant sur Atomic ont « déjà atteint plus de 120 pays, les États-Unis, la France, l’Italie, le Royaume-Uni et le Canada sont parmi les plus touchés ».
Pour pénétrer sur l’ordinateur de ses cibles, le virus s’est notamment glissé sur des sites de logiciels piratés, des fichiers .dmg partagés sur Internet, ou encore des publicités malveillantes sur Google. Plus récemment, le malware s’est propagé par le biais de courriels de phishing personnalisés ciblant exclusivement les détenteurs de cryptomonnaies. Le virus est développé et exploité par des hackers situés en Russie.
Moonlock indique que « l’attaque commence par l’envoi du malware Atomic macOS Stealer dans le cadre d’un faux processus d’entretien d’embauche, mené en plusieurs étapes et visant généralement des artistes ou des freelances ». Durant un entretien, la victime est invitée à « saisir son mot de passe système, sous prétexte d’activer le partage d’écran ».
La nouvelle variante qui a alerté les chercheurs comporte une porte dérobée. Une fois que le virus s’est frayé un chemin sur macOS, il va télécharger un fichier malveillant appelé « .helper ». Celui-ci va fonctionner comme une porte dérobée et permettre aux cybercriminels de conserver un accès secret à l’ordinateur. Le fichier est caché dans le dossier personnel de l’utilisateur pour passer inaperçu. Un second fichier malveillant, un script caché nommé « .agent », se charge ensuite de lancer automatiquement « .helper » en boucle en se faisant passer pour l’utilisateur.
Une mise à jour majeure du virus
La porte dérobée donne aux cybercriminels un contrôle à distance du Mac. Ils vont pouvoir exécuter des commandes, installer d’autres logiciels malveillants, enregistrer tout ce que vous tapez sur votre clavier, et explorer tout le réseau auquel l’ordinateur est connecté, afin d’essayer de pirater d’autres machines. C’est « une mise à jour majeure » d’Atomic, estiment les chercheurs. Elle met en danger « des milliers d’appareils Mac dans le monde entier ».
Pour que ce mécanisme redémarre à chaque allumage de l’ordinateur, les pirates se servent d’un LaunchDaemon, un programme capable de faire tourner automatiquement des tâches en arrière-plan, sans action de l’utilisateur. C’est une manière discrète d’assurer la persistance du malware sur la machine.
« Plus le virus passe inaperçu, plus les dégâts peuvent être importants — pour l’utilisateur, ses contacts, son employeur ou ses finances. C’est comme un cambrioleur qui ne se contente pas de voler une fois, mais qui s’installe chez vous en attendant que vous rachetiez des objets de valeur… pour mieux revenir les prendre », relate le rapport.
Les chercheurs de Moonlock pensent qu’il ne s’agit « que du deuxième cas connu » du « déploiement mondial d’une porte dérobée ciblant spécifiquement les utilisateurs de macOS ». La précédente menace analogue découlait des cybercriminels mandatés par la Corée du Nord.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Moonlock