Les utilisateurs de Mac ont été prévenus de l’arrivée de nouvelles variantes de logiciels malveillants qui ont été créés spécifiquement pour cibler leur système d’exploitation.Parmi ces logiciels, figure un ransomware, qui va donc chiffrer leurs données et exiger le paiement d’une rançon avant de les restituer, et un spyware, qui va surveiller les activités des propriétaires et collecter des informations précieuses.
Les experts en sécurité ont estimé qu'ils représentent une importante menace étant donné que leurs créateurs laissent n'importe qui utiliser gratuitement, les créateurs ne percevant une compensation financière que lorsque les victimes paient la rançon.
Ces deux logiciels malveillants ont été découverts par les entreprises de sécurité Fortinet et AlienVault, qui ont trouvé un portail sur le réseau Tor RaaS (Ransomware-as-a-Service) ayant servi de point de distribution pour les deux.
Ceux qui souhaitent utiliser l'un ou l'autre des programmes ont été invités à entrer en contact avec les développeurs et à fournir des détails sur la façon dont ils voulaient que les logiciels malveillants soient mis en place. Les créateurs de logiciels malveillants ont déclaré que les paiements effectués par les victimes de ransomware seraient divisés entre eux et leurs clients.
Les éditeurs ont prétendu travailler pour le compte de Yahoo et Facebook, ce qui est certainement faux : « Tandis que les produits Apple ont gagné en popularité ces dernières années, selon les données de notre enquête, les gens sont plus nombreux que jamais à se tourner vers les macOS. Nous pensons que les gens ont besoin de tels programmes sur macOS, alors nous avons rendu ces outils disponibles gratuitement. Contrairement à plusieurs hackers sur le DarkNet, nous sommes des développeurs professionnels avec une grande expérience dans le développement et un vaste intérêt pour la surveillance ».
Les chercheurs de Fortinet ont contacté les éditeurs en prétendant qu'ils étaient intéressés par l'utilisation du produit et, peu de temps après, ils ont reçu un échantillon du ransomware qu’ils se sont empressés d’étudier.
D’après leur analyse, il se sert d’un cryptage beaucoup moins sophistiqué que les nombreuses variantes vues sur les machines tournant sur Windows. De plus, ils ont ajouté que tous les fichiers chiffrés avec le ransomware seraient complètement perdus, car les éditeurs ont fait un très mauvais travail dans la gestion des clés de décryptage nécessaires pour restaurer les données.
« Même s'il est bien inférieur au système de ransomware le plus récent ciblant Windows, il ne manque pas de chiffrer les fichiers de la victime ou à empêcher l'accès à des fichiers importants, ce qui entraîne des dommages réels », ont rappelé les experts.
Les fonctionnalités mises en exergue par les éditeurs du malware sont :
- l’invisibilité : complètement invisible pour l’utilisateur lambda de Mac jusqu’au temps d’exécution programmé ;
- le chiffrement solide : se sert d’un algorithme de chiffrement de 128 bits. D’après les éditeurs, il est suffisant pour être loin de la portée des logiciels gratuits qui vont tenter de déchiffrer les fichiers ;
- le déni : une fois installés, les éditeurs assurent qu’il n’y aura pas de trace numérique qui puisse permettre de remonter jusqu’aux coupables. De plus, il peut être configuré pour fonctionner à n’importe quel moment dans le futur ou alors lorsqu’une personne va insérer un lecteur externe ;
- la vitesse : les éditeurs promettent que le répertoire de la cible sera chiffré en l’espace d’une minute.
Les logiciels espions, offerts via le même portail, peuvent enregistrer les touches qui sont pressées, prendre des captures d'écran et accéder au microphone d'une machine.
Dans son analyse, Peter Ewane, chercheur pour le compte d'AlienVault, a déclaré que le code malveillant dans les logiciels espions essayait difficilement d'échapper à plusieurs des méthodes de sécurité standard qui permettent de repérer et d'arrêter de tels programmes.
Selon lui, les utilisateurs de Mac devaient être plus vigilants que les créateurs de logiciels malveillants les ciblent.
« Alors qu’OS X continue de croître en parts de marché, nous pouvons nous attendre à ce que les auteurs de logiciels malveillants investissent beaucoup de temps dans la production de logiciels malveillants pour cette plateforme. »
Les statistiques recueillies par McAfee suggèrent qu'il existe maintenant environ 450 000 programmes malveillants destinés aux Mac, soit beaucoup moins que les 23 millions destinés aux utilisateurs de Windows.
Aamir Lakhani de Fortinet a déclaré que les utilisateurs de Mac devraient s'assurer que leurs machines sont mises à jour avec les derniers correctifs déployés par Apple et se méfier des messages qu'ils reçoivent par courrier électronique.
« Le marché du ransomware sur Mac continue manifestement de grandir », a-t-il déclaré. « Bien que la part de marché soit encore faible, les hackers savent qu'il existe des données précieuses sur le Mac. »
Source : Fortinet, AlienVault, rapport mcAfee (au format PDF)
