Les chercheurs de SentinelLabs ont découvert une nouvelle famille de virus visant les ordinateurs sous macOS. Cette nouvelle menace, baptisée FlexibleFerret par les experts, est considérée comme indétectable. Pour le moment, les mécanismes de sécurité d’Apple ne sont pas capables d’identifier tous les malwares.
À lire aussi : 3 millions d’apps iOS et macOS étaient vulnérables pendant près de 10 ans
De faux recruteurs piègent les demandeurs d’emploi
Les logiciels malveillants sont exploités dans le cadre d’une vague de cyberattaques appelée « Contagious Interview », soit « entretien contagieux ». Les pirates se font passer pour des recruteurs à la recherche d’un nouvel employé. En communiquant avec les demandeurs d’emploi lors d’un entretien d’embauche, les cybercriminels vont les pousser à installer des virus sur leur Mac.
Pour berner leurs cibles, les hackers glissent le virus dans de fausses mises à jour de Google Chrome et des logiciels d’installation pour Zoom. Parfois, le virus est aussi dissimulé dans une fausse « mise à jour d’un logiciel requis tel que VCam ou CameraAccess pour les réunions virtuelles ».
Une fois que FlexibleFerret est parvenu à pénétrer au sein de l’ordinateur, le logiciel malveillant va ajouter une porte dérobée dans le système d’exploitation. C’est la porte ouverte à l’installation de tous les virus possible. L’offensive aboutit au vol de données sensibles.
Un certificat de développeur valide
FlexibleFerret s’appuie sur un certificat de développeur valide. Ce certificat, depuis révoqué par Apple, permet au virus de contourner les protections standards de macOS et de se faire passer pour un logiciel légitime.
« À ce jour, XProtect ne contient aucune règle pour détecter FlexibleFerret. L’une des principales différences entre FlexibleFerret et les autres logiciels malveillants répertoriés dans les règles d’Apple est qu’il avait été signé avec un identifiant de développeur Apple valide. Ce certificat avait déjà été révoqué par Apple au moment de la publication de notre rapport, ce qui suggère qu’Apple était déjà au courant de l’existence de ce développeur », explique Phil Stokes, chercheur principal chez SentinelLabs.
Pour contrer la menace, Apple a mis à jour XProtect, le système de protection antivirus intégré à macOS. Il est programmé pour détecter et bloquer les logiciels malveillants connus. Lorsqu’un fichier est téléchargé ou ouvert, macOS vérifie s’il correspond à une menace connue en se basant sur la signature du logiciel. Une fois mis à jour, le système est en mesure de détecter plusieurs des versions de FlexibleFerret, indique SentinelLabs. Certaines variantes sont toujours indétectables. Les pirates ont en effet réagi en adaptant les virus pour que XProtect reste inopérant.
Derrière ces cyberattaques, on trouve des cybercriminels mandatés par la Corée du Nord. Financés par le gouvernement de Kim Jong Un, les pirates disposent de moyens conséquents pour mener leurs opérations. Les attaques se multiplient depuis l’hiver 2023, estime SentinelLabs dans son rapport.
Les chercheurs précisent avoir constaté « une forte augmentation » des virus visant les Macs au cours de l’année dernière. Parmi les virus en vogue, on trouve les « voleurs d’informations », taillés pour siphonner toutes les données d’un ordinateur.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : SentinelOne
