Dans le monde des logiciels malveillants qui ciblent macOS, la norme est de passer par des langages de script simples et de tenter de filouter les données des utilisateurs en faisant apparaître de fausses fenêtres de demande de mot de passe pour contourner les protections de macOS. Mais les chercheurs de Jamf viennent de mettre en avant une évolution chez les malandrins : les malwares modernes passent au Swift (un langage de programmation développé par Apple) et sont signés et notariés. De façon très concrète, une app signée est moins surveillée par macOS qu'une app qui ne l'est pas, pour une raison simple : elle provient d'un développeur qui a payé sa dîme et Apple peut bloquer l'app à distance… si elle est remarquée.
C'est une solution à double tranchant pour les hackers qui tentent de voler des données : d'un côté, un logiciel signé et notarié peut être lancé facilement par sa cible, sans devoir passer par des méthodes compliquées (au passage, le malware testé demande toujours de passer par un clic droit > Ouvrir, ce qui n'est pas nécessaire). Mais d'un autre côté, et c'est ce qui est arrivé ici, un logiciel signé et notarié peut être bloqué très facilement par Apple.
C'est un compromis qui repose principalement sur une chose : le malware va-t-il être détecté ? S'il est remarqué rapidement par les équipes d'Apple ou les chercheurs, il devrait être bloqué tout aussi rapidement et donc rendu inutile. Mais si la détection prend quelques jours, les avantages apportés par une app de ce type sont importants : il risque de toucher beaucoup plus d'utilisateurs. Le fait d'être signé et notarié ne permet pas à une app malveillante de faire n'importe quoi, et l'analyse faite par Jamf du code Swift le montre bien : les attaquants doivent tout de même tenter de passer outre certaines protections de macOS pour voler les données. Mais il ne faut pas nier la réalité pour autant : il y a nettement plus de chances que le malware s'incruste dans macOS.
En l'état, les personnes touchées avant le blocage du compte développeur employé sont toujours vulnérables, et les chercheurs recommandent de vérifier la présence des images disque zk-call-messenger-installer-3.9.2-lts.dmg ou co.runtime.helper.b3f9a2.dmg, qui ont été employées pour l'infection. Depuis que le compte employé a été signalé à Apple, le logiciel malveillant est bloqué, mais nous pouvons partir du principe que les personnes à l'origine des apps vont probablement utiliser d'autres comptes de développeurs (ou en pirater), dans un jeu du chat et de la souris qui peut durer assez longtemps.
Source :
