Un nouveau virus s’attaque au Mac. Baptisé FrigidStealer, le logiciel malveillant vient d’être identifié par les chercheurs en cybersécurité de ProofPoint. Celui-ci est programmé pour dérober des informations sensibles sur les ordinateurs infectés, dans l’unique objectif de gagner de l’argent.
À lire aussi : le malware Atomic Stealer est de retour sur Mac, gare à vos mots de passe
Une fausse mise à jour piège les propriétaires de Mac
Pour piéger les utilisateurs de macOS, les attaquants s’appuient sur une tactique très répandue, celle de la fausse mise à jour. Les pirates vont encourager la cible à installer la dernière mise à jour de son navigateur par le biais d’une fenêtre surgissante. Cette fausse mise à jour cache en fait le malware FrigidStealer. Si l’internaute clique sur Mettre à jour, il ouvrira la porte de son ordinateur au virus. En fait, l’attaque se déroule en plusieurs étapes.
D’abord, la fausse mise à jour va glisser un fichier DMG sur la machine. Il faudra cliquer sur ce fichier, présenté comme celui de la mise à jour, pour que le fichier DMG se déploie. Les utilisateurs doivent manuellement lancer le téléchargement en faisant un clic droit sur le fichier, puis en choisissant “Ouvrir”. Ils devront ensuite saisir leur mot de passe pour contourner Gatekeeper, le mécanisme qui protège les utilisateurs contre les virus et les applications non sécurisées. Avant l’installation, il vérifie si l’application provient d’une source fiable et d’un développeur reconnu par Apple.
Dans un premier temps, les hackers vont compromettre des sites web. Ils vont en effet injecter du code Javascript malveillant dans le code HTML du site. Compromis, le site va afficher de fausses notifications indiquant qu’il est urgent d’installer la dernière mise à jour du navigateur web. L’alerte semble provenir de Google Chrome ou de Safari, en fonction du navigateur de la victime.
Pour choisir leurs victimes, les cybercriminels se servent d’un TDS (Traffic Distribution System), un outil utilisé pour rediriger le trafic Internet en fonction de critères spécifiques, comme la localisation géographique, le type d’appareil ou le comportement de l’utilisateur. Sur base de ces informations, les pirates vont écarter certaines cibles et en privilégier d’autres. C’est surtout le système d’exploitation et le navigateur qui déterminent si l’internaute apercevra la fenêtre malveillante.
À lire aussi : Alerte sur macOS – des pirates nord-coréens piègent les utilisateurs Apple avec de fausses offres d’emploi
Un voleur de cryptos
Une fois déployé, FrigidStealer récupère les cookies, les identifiants de connexion et les fichiers de mots de passe enregistrés dans Safari ou Chrome. Ensuite, il se met à la recherche d’informations permettant de dépouiller les détenteurs de cryptomonnaies, comme des clés privées. Avec ces clés, il est possible de siphonner tout le contenu d’un portefeuille sur la blockchain. Le virus va parcourir tous les dossiers de l’ordinateur, l’app Notes, des fichiers texte ou encore des feuilles de calcul dans l’espoir de dénicher les clés. Les données volées étaient ensuite exfiltrées.
« Les voleurs d’informations sur macOS sont de plus en plus répandus. Les attaquants utilisent des compromissions de sites web pour diffuser des logiciels malveillants visant aussi bien les entreprises que les particuliers », met en garde ProofPoint.
Deux gangs aux origines de l’attaque
Derrière cette cyberattaque, on trouve deux gangs de pirates, TA2726 et TA2727. Les deux groupuscules ont mis leurs ressources en commun dans le cadre de l’opération. Le premier gang se charge de l’injection de code malveillant sur les sites web, tandis que le second se concentre sur le développement du virus FrigidStealer.
Les chercheurs ont remarqué que les deux gangs visaient aussi les ordinateurs sous Windows et les smartphones Android. Dans ces cas-là, ils exploitent des virus répandus, comme Lumma Stealer, DeerStealer ou Marcher, un cheval de Troie bancaire. La campagne est active dans plusieurs pays, dont la France. On vous recommande donc de rester prudent et de vous méfier des fenêtres surgissantes qui apparaissent sur le web.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : ProofPoint
