Un premier adware repéré sur les Mac M1

Mickaël Bazoge |

Même s'ils sont moins touchés que d'autres plateformes, les Mac ne sont pas immunisés contre les virus et les malwares. Et il en ira certainement de même pour les Mac M1 ! Le chercheur en sécurité Patrick Wardle a pu identifier GoSearch22, un malware spécifiquement compilé pour les ordinateurs équipés d'une puce Apple.

L'application contient le virus Pirrit, un logiciel publicitaire qui affiche de la réclame et siphonne des données. Les antivirus savent parfaitement le repérer et s'en débarrasser… sur les Mac Intel. Les Mac M1 étant encore tout récents, ces outils ne sont pas encore en mesure de détecter efficacement les menaces spécifiquement conçues pour cibler la nouvelle plateforme.

La signature Apple du développeur de GoSearch22 remonte au 23 novembre dernier, mais le constructeur en a révoqué le certificat. On ne peut plus savoir si le code a été « notarisé » ou pas. Wardle explique cependant que le binaire a été repéré dans la nature, ce qui signifie que des Mac M1 ont été probablement infectés. L'autre enseignement de cette découverte, c'est que les hackers n'ont pas perdu de temps pour s'intéresser aux Mac M1 et que la vigilance reste de mise.


Source
Tags
avatar Antara | 

Les Hackers auraient ils bénéficié de la location d'un petit Mac Mini M1 développer histoire d'être prêt a la sortie des machines grand public. !

avatar raoolito | 

@Antara

je ne suis pas specialiste mais ca dépend du niveau de foncitonnement de ce virus. a-t-il besoin de faire appel au processeur ou seulement àdes routines de macOs ?
je dis peut-être des betises mais ca ne doit pas etre si compliqué d’adapter ces adwares. Et les mac M1 sont sortis ya 3 mois bientot. vu tous les softs optimisés M1, je pense que le boulot ici a pu etre fait des les premieres semaines

mais g peut-être tort hein ?

avatar debione | 

@raoolito:
Si cela se trouve, les hackers ont simplement utilisé les outils de portage mis à leurs disposition par Apple... ;)

avatar raoolito | 

@debione

Xcode, tout ca..
:)

avatar fernandn | 

Très bonne remarque !

avatar Xap | 

Le boulot que fait Patrick Wardle sur la sécurité des Macs est absolument remarquable!

J’utilise au quotidien une des apps qu’il a créé (LuLu), super alternative à Little Snitch et fonctionne parfaitement sur M1.

avatar chrisfrank | 

@Xap

Et sert à quoi cette app ?

avatar aaithamou | 

@chrisfrank

C’est firewall ou pare-feu. Permet de superviser (bloquer ou donner accès) les flux entrants et sortant de ton mac.

https://objective-see.com/products/lulu.html

avatar corben | 

Apple Silicon ça devait pas être le summum de la sécurité ? 🤔🙄

avatar debione | 

@corben:

Admettons que j'ai développé une application vérolée pour Mac. Ben ma première idée serait d'utiliser les outils de portage qu'Apple propose....
Ca va rien changer en fait...

avatar corben | 

@debione

Je comprends en effet
Mais quand ils ont commencé à utiliser les puces T1 ça laissait entendre que la sécurité ne faisait que se renforcer
Un adware même pas 2 mois après le M1 c’est pas terrible

avatar raoolito | 

@corben

Les puces T2 n’ont rien a voir avec les adwares. Elles empêchent ( enfin moins vu qu’elles ont été craquées) de récupérer les données sur le ssd interne, elles permettent de sécuriser l’audiovisuel en accès et en cadeau font de la gestion de la carte mere, touchbar et circuit spécialisé h264 et h265
Mais les adware plutot haut niveau et 100% software, là non

avatar huexley | 

Tout est faillible malheureusement mais on est encore loin de ce qui se passe sur Windows.

avatar CogipTelematique | 

Non, la transition a pour but de gagner en performance ou en autonomie, la sécurité reste identique quel que soit le type de microprocesseur de l'ordinateur.

avatar ya2nick | 

@corben

Quand je vois votre pseudo je pense toujours à Korben.info petit site existant depuis des années donnant pas mal d’infos intéressantes sur le hacking (enfin quand cela m’intéressait, cela fait des années que je n’y suis plus allé). Je vous conseil d’aller y faire un tour, cela pourrait vous donner des notions de hack.

Vous pourriez ainsi comprendre ce que l’on peut faire, niveau hack, sur les os, sur les firmware/bios/EFI...

avatar marc_os | 

@ corben
> Apple Silicon ça devait pas être le summum de la sécurité

Personne n'a jamais dit ça, même pas Apple.
Si tu crois ça, c'est ton problème.

avatar cybercooll | 

Et ça se chope comment? Parce que c’est un peu crucial comme
Info. S’il faut télécharger et lancer un dmg c’est une chose. S’il suffit de visiter un site web c’en est une autre. S’il suffit de connecter son ordi à internet c’est gênant.

avatar Bozzo | 

@cybercooll

Ça se choppe si on sort sans masque !

Plus sérieusement, je plussoie ta question qui est fondamentale : ça se choppe comment ?

avatar r e m y | 

Il a été trouvé dans une extension Safari , mais potentiellement il peut se trouver dans n'importe quel type d'application, y compris des applications téléchargées sur l'AppStore (le compte développeur a été révoqué, mais ils ouvriront un autre compte développeur et soumettrons à nouveau des applications infestées)

avatar cybercooll | 

@r e m y

Vivement l’AppStore alternatif 🤣

avatar Lemmings | 

Apple est foutue ! C'est sûr 🤣

avatar David Finder | 

Effectivement il serait bien d’avoir plus d’infos quant à ce malware et comment, si touché, s’en débarrasser.

avatar r e m y | 

L'anti malware de MalwareByte le détecte et l'élimine (la version gratuite de l'anti malware est suffisante). On le trouve sur le site web de MalwareByte.

Attention à ne pas aller chercher un anti malware sur le Mac AppStore. La plupart sont en fait des adwares ...

avatar marc_os | 

@ remy
> Attention à ne pas aller chercher un anti malware sur le Mac AppStore. La plupart sont en fait des adwares

Affirmation purement gratuite.
Quel est donc votre intérêt à dénigrer les anti-virus sur l'AppStore ?

avatar r e m y | 

Je ne dénigre pas les antivirus de manière générale. J'affirme par contre, que sur le Mac AppStore, la majorité des utilitaires qui se présentent comme anti malware ou anti adware sont en fait de vrais adwares.

Il y a quelques années, je les signalais à Apple qui les supprimait, mais ils réapparaissaient quelques semaines plus tard sous l'identité d'un nouveau développeur. J'ai fini par arrêter de les signaler

(MacG avait fait plusieurs articles à ce sujet à l'époque... comme celui-ci https://www.macg.co/logiciels/2016/09/le-mac-app-store-besoin-dun-bon-coup-dantivirus-95754
aujourd'hui rien n'a changé)

Vous pouvez faire un test. Cherchez par exemple "adware medic" et chargez quelques uns des utilitaires proposés (vous remarquerez d'ailleurs que plusieurs sous des noms différents présentent exactement la même interface)

Ensuite, allez chercher l'anti malware de MalwareByte (sur leur site web) et lancez une analyse de votre Mac. Vous verrez que les utilitaires que vous venez de charger sont désignés comme adwares...

avatar marc_os | 

@ macg
> Les Mac M1 étant encore tout récents, ces outils ne sont pas encore en mesure de détecter efficacement les menaces spécifiquement conçues pour cibler la nouvelle plateforme.

Qu'entendez-vous par « spécifiquement conçues pour cibler la nouvelle plateforme » ?
Compilé pour M1 ?

Un antivirus tournant même sous Rosetta ne serait pas capable de lire des fichiers, de les analysés et rapporter le fait qu'un fichier serait infecté ?
Et pourquoi donc ?
Les fournisseurs d'antivirus ne seraient pas capable de créer des signatures pour reconnaître du code malveillant compilé pour M1 ?
Pourquoi donc ?

avatar marc_os | 

@ macg
> On ne peut plus savoir si le code a été « notarisé » ou pas.

Bien sûr que si, si on a le "code" sous la main !

avatar marc_os | 

> Les Mac M1 étant encore tout récents, ces outils ne sont pas encore en mesure de détecter efficacement les menaces spécifiquement conçues pour cibler la nouvelle plateforme.

Et pourtant, à ce qu'on ma dit ce malware est détecté en tant que OSX/Pirrit.fs par VirusBarrier depuis l'automne dernier, sur tous les Mac supportés (dont les Macs M1 via Rosetta).

avatar marc_os | 

@ Mickaël Bazoge
Pas de réponse ?

CONNEXION UTILISATEUR