Ouvrir le menu principal

MacGeneration

Recherche

MacStealer, un « Malware as a Service » qui attaque les Mac

Pierre Dandumont

mardi 28 mars 2023 à 11:45 • 37

Logiciels

Un nouveau « Malware as a Service » (MaaS) serait en vente sur divers forums tenus par des malandrins. Si vous ne connaissez pas le concept, il est simple : un hacker développe une base pour un logiciel malveillant, qu'il vend à d'autres personnes. Et ces dernières peuvent ensuite le configurer en fonction de leurs besoins pour cibler un individu, un groupe d'utilisateurs, etc.

Un message du créateur.

MacStealer reste encore assez léger

MacStealer est pour le moment vendu 100 $ car il est peu configurable : pour ce prix, vous obtiendrez un fichier DMG (une image disque) préinfecté, sans possibilité de réglages. Il est capable d'infecter macOS Catalina, Big Sur, Monterey et Ventura et une fois actif, il récupère de nombreuses données qu'il envoie ensuite via Telegram.

Les données en question sont nombreuses : toutes les informations liées à Firefox, Chrome et Brave — mots de passe, cookies, cartes de crédit enregistrées —, les fichiers textes (DOC, TXT, PDF), les images (JPG, PNG, BMP), tout ce qui est lié à la suite Microsoft Office (XLS, PPT) ainsi que les fichiers compressés de l'utilisateur (RAR et ZIP) et quelques types de fichiers qui peuvent contenir des données importantes (bases de données DB, fichiers CSV, etc.). Il récupère aussi le trousseau d'accès du Mac — qui contient les mots de passe, les cartes de crédit, etc. — et différents wallets liés aux cryptomonnaies, c'est-à-dire les fichiers qui contiennent les clés donnant accès aux cryptos en question.

Un schéma de ce qu'il effectue, par Uptycs.

N'entrez pas votre mot de passe sans raison

Le fonctionnement même du malware demeure assez basique : il contient un programme qui n'est pas signé, avec du code Python qui va effectuer l'attaque. Il ne passe pas par une faille de macOS ou une voie détournée pour obtenir le mot de passe de l'utilisateur, nécessaire pour opérer les différentes tâches, mais affiche simplement une demande de mot de passe générée en AppleScript. Les chercheurs de chez Uptycs, qui ont décortiqué le malware, donnent même la commande pour déployer la fenêtre en question, que nous reproduisons ici.

La fenêtre illégitime

Le message demeure assez basique et peut éventuellement abuser un utilisateur peu habitué à macOS, mais ceux qui connaissent bien l'OS d'Apple ne devraient normalement pas se laisser avoir même si une erreur d'inattention est toujours possible. Il y a plusieurs points qui montrent rapidement qu'il ne s'agit pas d'une demande légitime : le nom d'utilisateur n'est pas affiché et il n'y a pas de possibilité d'utiliser la biométrie1. De même, le message est en anglais (quelle que soit la langue de l'OS) et il y a une majuscule à « MacOS ». Enfin, la raison de la demande du mot de passe n'est pas indiquée.

Une fenêtre plus légitime affiche plus d'informations.

Dans tous les cas, il y a deux règles d'or pour éviter de se faire avoir : ne pas télécharger un fichier n'importe où — il faut privilégier les sites officiels des développeurs — et ne pas entrer son mot de passe à tout bout de champ. Même si macOS s'est un peu « Windowsvistaisé » avec le temps, les demandes restent assez rares et l'OS explique la raison de la requête, ce qui n'est pas le cas ici. Mais comme MacStealer est en vente depuis peu et risque d'évoluer… méfiez-vous.


  1. Attention, ce second point est moins sûr que le premier : tous les Mac ne sont pas compatibles avec Touch ID et certaines autorisations peuvent ne pas utiliser la biométrie.  ↩︎

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

French Days : le très robuste SSD externe Samsung T7 Shield 2 To à 169 € (- 23 %)

11:30

• 0


French Days : Orange et Sosh suppriment les frais de mise en service qui venaient d’être ajoutés

11:00

• 1


Gabriel Attal souhaite limiter drastiquement l’accès des mineurs aux réseaux sociaux, en imitant la Chine

10:30

• 25


Apple mord la poussière face à Epic, mais ne rend pas les armes

10:00

• 30


Google : NotebookLM génère des podcasts en français à partir de vos documents

30/04/2025 à 16:24

• 15


Raycast arrive sur l’iPhone, essentiellement pour les fonctions liées à l’IA

30/04/2025 à 15:06

• 3


French Days : CyberGhost, le meilleur VPN pour Mac à 2,03 € par mois (et franchement, vous auriez tort de vous en priver) 📍

30/04/2025 à 13:47

• 0


Free Pro passe à 8 Gb/s en symétrique pour tous les clients, mêmes les anciens

30/04/2025 à 13:30

• 21


Voler une voiture ? Jamais ! Utiliser une police sans autorisation sur des DVD ? Toujours

30/04/2025 à 12:34

• 36


Starlink offre l'antenne dans certains pays si vous vous engagez pour un an

30/04/2025 à 11:45

• 48


B&You ajoute des frais de résiliation sur tous ses forfaits

30/04/2025 à 11:28

• 63


Un prix canon sur les iPad Air M3 : 530 € (-189 €) ! L'iPad Pro M4 à 899,99 € !

30/04/2025 à 09:00

• 13


Synology : la liste des disques durs compatibles avec sa nouvelle gamme de NAS est encore vide

30/04/2025 à 08:22

• 44


Tim Cook attendrait des « bras robotisés » pour produire l’iPhone aux États-Unis, selon le gouvernement américain

30/04/2025 à 07:48

• 30


MacBook Air M4 : la chute des prix se poursuit sur ce nouvel incontournable 🆕

30/04/2025 à 07:02

• 43


Encore un problème technique sur l’offre B&You Pure fibre : les 8 Gbit/s normalement de retour

29/04/2025 à 21:00

• 15