Des chercheurs en sécurité ont repéré un nouveau logiciel espion pour macOS qui exploite des vulnérabilités déjà corrigées pour contourner les protections intégrées à macOS. Sa découverte souligne l’importance de se tenir au courant des mises à jour du système d’exploitation.

Baptisé CloudMensis, le logiciel espion jusqu’alors inconnu, repéré par les chercheurs d’ESET, utilise exclusivement des services de stockage en nuage public tels que pCloud, Dropbox et autres pour communiquer avec les attaquants et pour exfiltrer des fichiers. De manière inquiétante, il exploite une pléthore de vulnérabilités pour contourner les protections intégrées de macOS et voler vos fichiers.

“Ses capacités montrent clairement que l’intention de ses opérateurs est de recueillir des informations à partir des Macs des victimes en exfiltrant des documents, des frappes au clavier et des captures d’écran”, a écrit Marc-Etienne M.Léveillé, chercheur chez ESET. “L’utilisation de vulnérabilités pour contourner les mesures d’atténuation de macOS montre que les opérateurs du malware essaient activement de maximiser le succès de leurs opérations d’espionnage.”

Supprimer rapidement les logiciels malveillants avec Malwarebytes’ Anti-Malware

Spyware persistant

Les chercheurs d’ESET ont repéré le nouveau logiciel malveillant pour la première fois en avril 2022 et ont réalisé qu’il pouvait attaquer à la fois les anciens ordinateurs à base de silicium d’Intel et les plus récents d’Apple.

L’aspect le plus frappant de ce logiciel espion est peut-être qu’après avoir été déployé sur le Mac d’une victime, CloudMensis n’hésite pas à exploiter des vulnérabilités Apple non corrigées dans le but de contourner le système macOS Transparency Consent and Control (TCC).

Le système TCC est conçu pour demander à l’utilisateur d’autoriser les applications à faire des captures d’écran ou à surveiller les événements du clavier. Il bloque l’accès des apps aux données sensibles de l’utilisateur en permettant aux utilisateurs de macOS de configurer les paramètres de confidentialité des apps installées sur leurs systèmes et des appareils connectés à leurs Macs, notamment les microphones et les caméras.

Les règles sont enregistrées dans une base de données protégée par la protection de l’intégrité du système (SIP), qui garantit que seul le démon TCC peut modifier la base de données.

Sur la base de leur analyse, les chercheurs affirment que CloudMensis utilise plusieurs techniques pour contourner TCC et éviter toute demande d’autorisation, obtenant ainsi un accès sans entrave aux zones sensibles de l’ordinateur, telles que l’écran, le stockage amovible et le clavier.

Sur les ordinateurs dont le SIP est désactivé, le logiciel espion s’accorde simplement des autorisations d’accès aux périphériques sensibles en ajoutant de nouvelles règles à la base de données TCC. Toutefois, sur les ordinateurs où le protocole SIP est actif, CloudMensis exploitera des vulnérabilités connues pour inciter TCC à charger une base de données dans laquelle le logiciel espion peut écrire.

Protégez-vous

“Nous supposons généralement que lorsque nous achetons un produit Mac, il est totalement à l’abri des logiciels malveillants et des cybermenaces, mais ce n’est pas toujours le cas”, a déclaré George Gerchow, responsable de la sécurité chez Sumo Logic, dans un échange de courriels.

Gerchow a expliqué que la situation est encore plus préoccupante de nos jours avec de nombreuses personnes qui travaillent à domicile ou dans un environnement hybride en utilisant des ordinateurs personnels. “Cela combine des données personnelles avec des données d’entreprise, créant un bassin de données vulnérables et désirables pour les pirates”, a noté Gerchow.

Un pirate anonyme brise l’accès pour voler des informations et infecter des ordinateurs et des systèmes.

Bien que les chercheurs suggèrent d’exécuter un Mac à jour pour au moins empêcher le logiciel espion de contourner TCC, Gerchow estime que la proximité des appareils personnels et des données d’entreprise exige l’utilisation d’un logiciel de surveillance et de protection complet.

“La protection des points de terminaison, fréquemment utilisée par les entreprises, peut être installée individuellement par [les personnes] pour surveiller et protéger les points d’entrée sur les réseaux, ou les systèmes basés sur le cloud, contre les logiciels malveillants sophistiqués et les menaces zero-day en constante évolution”, a suggéré Gerchow. “En enregistrant les données, les utilisateurs peuvent détecter un nouveau trafic et des exécutables potentiellement inconnus au sein de leur réseau.”

Cela peut sembler exagéré, mais même les chercheurs ne sont pas opposés à l’utilisation de protections complètes pour protéger les gens contre les logiciels espions, faisant référence au Lockdown Mode qu’Apple est sur le point d’introduire sur iOS, iPadOS et macOS. Il s’agit de donner aux gens une option pour désactiver facilement les fonctionnalités que les attaquants exploitent fréquemment pour espionner les gens.

“Bien que n’étant pas le malware le plus avancé, CloudMensis peut être l’une des raisons pour lesquelles certains utilisateurs voudraient activer cette défense supplémentaire [le nouveau mode Lockdown]”, ont noté les chercheurs. “La désactivation des points d’entrée, au prix d’une expérience utilisateur moins fluide, semble être un moyen raisonnable de réduire la surface d’attaque.”