Comment Shlayer Malware contourne la protection Mac pendant 2 mois
✔️
Double-cliquez simplement sur le mauvais fichier et le logiciel malveillant Shlayer s’installe sur le Mac de la victime. Une fois à l’intérieur d’un appareil, ce puissant logiciel malveillant peut surveiller et modifier l’activité des utilisateurs sur Internet : par exemple, il peut voler des identifiants ou surveiller des conversations. Découvert en 2018, Shlayer est également connu comme une passerelle vers d’autres programmes, tels que les logiciels publicitaires, qui génèrent des revenus grâce à des publicités intrusives et indésirables. Ces malwares sont ennuyeux mais relativement inoffensifs. Désormais, les chercheurs craignent que cela n’ouvre la porte à des logiciels plus meurtriers, tels que les rançongiciels.
Les Mac ont également été confrontés au malware de l’épisode 3430. // Source : Julien Cadot pour Numerama
Il n’est pas rare de déployer un malware en double-cliquant sur un ordinateur Apple. Le logiciel de sécurité de base de ce dernier intégré à macOS construit une partie de sa réputation. En principe, macOS n’autorise que les fichiers à afficher des applications certifiées Apple et des applications dans leurs modules qui ont réussi la vérification des logiciels malveillants connus. Concrètement, Apple maintient une sorte de liste blanche, et si un utilisateur télécharge un programme qui ne lui appartient pas, il en sera averti, lui faisant prendre conscience de son risque.
Par conséquent, tant que l’utilisateur ne vérifie pas manuellement le téléchargement de l’application, cela ne fonctionnera pas. Cette protection complique grandement le travail des voyous ; non seulement ils doivent convaincre les victimes de télécharger des logiciels malveillants, mais ils doivent également les convaincre d’ignorer les alertes macOS.
Une vulnérabilité a été exploitée pendant près de deux mois
Mais Shlayer – pour la deuxième fois en deux ans – a réussi à contourner ce système de vérification. Selon l’équipe de recherche de Jamf, les développeurs de logiciels malveillants ont découvert une vulnérabilité dans Gatekeeper début mars 2021. Cet outil macOS joue un rôle essentiel dans la vérification et le blocage de l’application inconnue qui vient d’être décrite, une vulnérabilité qui permet au voyou de le tromper. Heureusement, le chercheur Cedric Owens a également découvert la vulnérabilité à peu près au même moment.
Il a demandé à Patrick Wardle, l’un des chercheurs les plus éminents dans le domaine macOS, de corroborer ses recherches et de les soumettre à Apple. Résultat : l’éditeur a corrigé la vulnérabilité dans la mise à jour 11.3 de macOS Big Sur, publiée le lundi 26 avril. Les criminels ont donc pu l’exploiter pendant près de 2 mois, mais tous les Mac ayant reçu la mise à jour sont désormais protégés.
Shlayer, l’ennemi numéro 1 de macOS ?
Comme l’explique si bien Techcrunch, l’erreur qu’Owens a trouvée a été de piéger Gatekeeper en lui montrant une application construite de manière inhabituelle. Vous devez savoir que les applications macOS se présentent sous la forme d’un ensemble de fichiers, organisés d’une certaine manière. L’un d’eux comprendra une « liste de propriétés » qui indiquera à macOS où trouver tel ou tel fichier d’application.
Owens a découvert que s’il éjectait ce fichier et organisait les autres d’une manière ou d’une autre, Gatekeeper penserait que tout avait été vérifié par Apple. Par conséquent, macOS commencera à exécuter du code sans déclencher son mécanisme de vérification.
Shlayer devient de plus en plus dangereux
Avec cette nouvelle prouesse, Shlayer se positionne plus que jamais comme le malware de référence sur macOS. Kaspersky avait déjà remarqué en 2019 que ce malware se cachait dans une détection de malware sur 10 sur Mac. Historiquement, Shlayer se faisait passer pour Flash Player pour tromper les victimes. Il se propage désormais dans de fausses publicités sur des sites Web infectés, ou en se plaçant sur des pages affichées en tête de certaines requêtes sur les moteurs de recherche.
Non seulement Shlayer a une large portée, mais ses créateurs trouvent régulièrement de nouveaux bogues dans les produits Apple. Nous avons donc affaire à un groupe de cybercriminels avancés qui essaient de cibler un maximum de personnes. Tout ce qu’il faut, c’est faire équipe avec d’autres gangs célèbres pour en faire un truc délicat.
SOURCE : iPhoneforum.fr
N’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 🤓
