Ouvrir le menu principal

MacGeneration

Recherche

MacStealer, un « Malware as a Service » qui attaque les Mac

Pierre Dandumont

mardi 28 mars 2023 à 11:45 • 37

Logiciels

Un nouveau « Malware as a Service » (MaaS) serait en vente sur divers forums tenus par des malandrins. Si vous ne connaissez pas le concept, il est simple : un hacker développe une base pour un logiciel malveillant, qu'il vend à d'autres personnes. Et ces dernières peuvent ensuite le configurer en fonction de leurs besoins pour cibler un individu, un groupe d'utilisateurs, etc.

Un message du créateur.

MacStealer reste encore assez léger

MacStealer est pour le moment vendu 100 $ car il est peu configurable : pour ce prix, vous obtiendrez un fichier DMG (une image disque) préinfecté, sans possibilité de réglages. Il est capable d'infecter macOS Catalina, Big Sur, Monterey et Ventura et une fois actif, il récupère de nombreuses données qu'il envoie ensuite via Telegram.

Les données en question sont nombreuses : toutes les informations liées à Firefox, Chrome et Brave — mots de passe, cookies, cartes de crédit enregistrées —, les fichiers textes (DOC, TXT, PDF), les images (JPG, PNG, BMP), tout ce qui est lié à la suite Microsoft Office (XLS, PPT) ainsi que les fichiers compressés de l'utilisateur (RAR et ZIP) et quelques types de fichiers qui peuvent contenir des données importantes (bases de données DB, fichiers CSV, etc.). Il récupère aussi le trousseau d'accès du Mac — qui contient les mots de passe, les cartes de crédit, etc. — et différents wallets liés aux cryptomonnaies, c'est-à-dire les fichiers qui contiennent les clés donnant accès aux cryptos en question.

Un schéma de ce qu'il effectue, par Uptycs.

N'entrez pas votre mot de passe sans raison

Le fonctionnement même du malware demeure assez basique : il contient un programme qui n'est pas signé, avec du code Python qui va effectuer l'attaque. Il ne passe pas par une faille de macOS ou une voie détournée pour obtenir le mot de passe de l'utilisateur, nécessaire pour opérer les différentes tâches, mais affiche simplement une demande de mot de passe générée en AppleScript. Les chercheurs de chez Uptycs, qui ont décortiqué le malware, donnent même la commande pour déployer la fenêtre en question, que nous reproduisons ici.

La fenêtre illégitime

Le message demeure assez basique et peut éventuellement abuser un utilisateur peu habitué à macOS, mais ceux qui connaissent bien l'OS d'Apple ne devraient normalement pas se laisser avoir même si une erreur d'inattention est toujours possible. Il y a plusieurs points qui montrent rapidement qu'il ne s'agit pas d'une demande légitime : le nom d'utilisateur n'est pas affiché et il n'y a pas de possibilité d'utiliser la biométrie1. De même, le message est en anglais (quelle que soit la langue de l'OS) et il y a une majuscule à « MacOS ». Enfin, la raison de la demande du mot de passe n'est pas indiquée.

Une fenêtre plus légitime affiche plus d'informations.

Dans tous les cas, il y a deux règles d'or pour éviter de se faire avoir : ne pas télécharger un fichier n'importe où — il faut privilégier les sites officiels des développeurs — et ne pas entrer son mot de passe à tout bout de champ. Même si macOS s'est un peu « Windowsvistaisé » avec le temps, les demandes restent assez rares et l'OS explique la raison de la requête, ce qui n'est pas le cas ici. Mais comme MacStealer est en vente depuis peu et risque d'évoluer… méfiez-vous.


  1. Attention, ce second point est moins sûr que le premier : tous les Mac ne sont pas compatibles avec Touch ID et certaines autorisations peuvent ne pas utiliser la biométrie.  ↩︎

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Sortie de veille : une app porno sur iPhone, un véritable scandale ?

08:00

• 6


Le parquet de Paris ouvre une enquête sur X pour manipulation d’algorithme

07/02/2025 à 22:00

• 42


Un ex-ingénieur d’Apple viré pour avoir divulgué des projets en cours fait des excuses publiques

07/02/2025 à 21:00

• 9


Un des développeurs d'Asahi Linux abandonne son travail sur le noyau Linux à cause d'une querelle d'ego

07/02/2025 à 20:00

• 8


Sauvegarde iCloud : le gouvernement britannique aurait demandé à Apple de briser son chiffrement de bout en bout

07/02/2025 à 18:05

• 81


La justice demande le blocage de plusieurs convertisseurs YouTube vers MP3

07/02/2025 à 18:00

• 33


Le Mac App Store ne fonctionne plus sur certaines vieilles versions de macOS

07/02/2025 à 16:15

• 28


Wacom prévoit de nouvelles Intuos Pro pour février 2025

07/02/2025 à 14:00

• 4


Une mise à jour de la RAM d'un autoradio pour éviter des plantages de CarPlay

07/02/2025 à 12:30

• 25


Promo : le MacBook Air M2 démarre à seulement 799 € 🆕

07/02/2025 à 12:08

• 33


LibreOffice 25.2 ajoute un Coup d’œil à ses documents sur Mac

07/02/2025 à 10:52

• 22


Travaillez de chez vous en toute sécurité grâce à Express VPN + un cadeau offert 📍

07/02/2025 à 10:14


Le nouvel iPhone SE 4 pourrait arriver la semaine prochaine

07/02/2025 à 07:37

• 50


Bien après macOS, Windows 11 va prendre en charge le MIDI 2.0

06/02/2025 à 21:30

• 9


Test du dock USB4 de Razer : 14 prises et une ergonomie excellente

06/02/2025 à 20:30

• 11


Bouygues Telecom rembourse un an de fibre à 2 Gb/s pour fêter la fin de l'ADSL

06/02/2025 à 17:15

• 8