Apple veille, mais les malwares se cachent de mieux en mieux dans macOS
Jamf, spécialiste de la gestion de parcs d’appareils Apple, a publié un long article sur un nouveau malware identifié dans des copies piratées de Final Cut Pro ainsi que de Logic Pro. Apple a commenté ces recherches auprès de 9To5 Mac pour noter que XProtect, l’anti-malware intégré à macOS, est mis à jour régulièrement et qu’il bloque ces variantes. La pomme veille comme toujours, tant mieux pour les utilisateurs, mais les découvertes de Jamf restent intéressantes. Notamment parce qu’elles témoignent de l’évolution des logiciels malveillants, qui deviennent de plus en plus malins pour se cacher dans les tréfonds du système.
Ce malware a été retrouvé dans des copies piratées de Final Cut Pro, l’outil professionnel de montage vidéo d’Apple1, et il sert à miner des cryptomonnaies à l’insu de l’utilisateur. Jamf a repéré sur un célèbre annuaire de torrents que l’app était proposée par un même utilisateur depuis fin 2021, avec une nouvelle version qui sort régulièrement pour suivre les mises à jour d’Apple. Cela a fourni à l’entreprise la possibilité rare de suivre les évolutions du malware dans le temps et de constater que plusieurs générations se sont succédées, avec à chaque fois une meilleure méthode pour s’installer et se cacher au cœur du système.
Le minage de cryptomonnaie, une opération intensive qui mobilise les ressources d’un ordinateur, se fait grâce à xmrig, tandis que les communications avec le serveur du malandrin sont rendues anonymes grâce à i2p. Ces deux outils sont bien connus dans le monde de la sécurité, car ils sont souvent détournés par des logiciels malveillants, même s’ils sont à la base tout à fait légitimes. Les évolutions dans le temps constatées par Jamf concernent deux aspects différents : l’installation qui gagne en efficacité et surtout les techniques de masquage mises en place au fil du temps.
Ainsi, la première génération installait ses composants malveillants lors de la première ouverture de la copie piratée de Final Cut Pro, mais en demandant un mot de passe administrateur à l’utilisateur. S’il se méfiait et refusait de saisir l’information, l’installation ne pouvait pas aboutir. Par la suite, une nouvelle génération n’installait rien, mais le processus de minage était initié en toute transparence dès que l’app d’Apple était ouverte. Le mot de passe de la session n’était plus nécessaire et cela permettait de masquer l’utilisation du CPU : puisqu’une app gourmande est ouverte, on est moins méfiant si les ventilateurs du Mac se font soudainement entendre.
Une troisième génération a adopté une autre stratégie encore, pour s’installer sur le volume de stockage du Mac et ainsi pouvoir tourner en permanence, mais en le faisant plus discrètement. Sans entrer dans les détails, le fichier téléchargé est un exécutable qui installe et lance Final Cut Pro d’un côté, tout en installant et lançant le malware de l’autre. La technique utilisée permet d’éviter la saisie de mot de passe, le plus important étant toutefois que les créateurs du logiciel malveillant ont gagné en finesse pour masquer leur travail.
Plusieurs techniques de contournement sont mises en place, comme le fait de choisir des noms de processus identiques à ceux de macOS : mdworker_shared et mdworker_local. Cela complique la détection du logiciel malveillant, puisque ces processus sont parfaitement légitimes et ils servent à Spotlight, le moteur de recherche du système. Autre solution de dissimulation, un processus tourne en permanence et surveille si l’utilisateur lance l’app Moniteur d’activité qui est chargée de surveiller tout ce qui est exécuté sur le Mac. Dès que cette app est ouverte, ce processus quitte immédiatement tous ceux qui sont en charge du minage de cryptomonnaie, effaçant toutes ses traces.
Cette solution est particulièrement maligne, car elle complique toute investigation. Si l’utilisateur entend soudainement les ventilateurs de son mac tourner, ou s’il constate que son autonomie fond à toute vitesse, il pourrait suspecter une activité louche, mais ne verrait rien en ouvrant le Moniteur d’activité. Combiné avec les noms de processus qui reprennent ceux d’Apple, cela devient bien difficile de repérer la supercherie. Au passage, Jamf note que les puces Apple Silicon sont des alliées à leur corps défendant des créateurs de malwares : plus puissantes, elles permettent d’agir discrètement et de moins éveiller les soupçons des utilisateurs.
Apple a amélioré la sécurité de macOS Ventura, qui peut ainsi bloquer l’ouverture de ces copies piratées de Final Cut Pro. Ce n’est pas lié à XProtect, il s’agit d’une vérification désormais systématique de la signature des apps connues. Comme cette copie a été modifiée pour intégrer le malware, sa signature est différente et un message d’erreur s’affiche quand on veut la lancer. Une bonne nouvelle… en apparence seulement. En effet, le blocage ne concerne que Final Cut Pro, mais pas le processus d’installation du malware qui a été mené à bien, comme le relève Jamf.
Ces malwares de dernière génération sont de plus en plus pernicieux, car ils s’installent sans action de l’utilisateur et savent de mieux en mieux masquer leurs traces. Même si Apple veille avec XProtect, c’est une réaction face aux logiciels malveillants connus et il est bien difficile d’imaginer des mesures préventives réellement efficaces. D’autant que, comme le note Jamf, l’utilisateur qui télécharge une copie piratée est motivé pour suivre les consignes fournies avec la copie et peut sans le savoir aider le créateur du malware à pourrir sa propre machine.
Le site évoque notamment un fichier d’instructions fourni avec une copie piratée qui suggère de désactiver entièrement Gatekeeper avant de lancer l’app. C’est un très mauvais conseil évidemment, mais les instructions se contentent de donner une ligne de commande à saisir dans le terminal pour ouvrir l’app. Il ne faut pas compter sur le créateur d’un malware pour vous expliquer le rôle réel d’une telle commande, on s’en doute, ni comment réactiver Gatekeeper par la suite…
-
Des copies piratées de Logic Pro ont aussi été infectées d’après le site, même s’il ne détaille pas si le processus est identique. ↩︎
Le soucis c’est déjà d’utiliser des logiciels piratés, même si je comprends les raisons économiques derrière et pour l’avoir fait moi même à une époque.
Les logiciels « free et open source » sont là pour ça.
@eX0
ben je l'ai fait, c'etait juste pour tester un coup final cut pro, ya maintenant deux ans.
mais le logiciel deminage n'etait pas aussi evolué et en ouvrant le moniteur j'avais vu qu'il y avait un loup. Un ami d el'epoque (il se reconnaitra) m'a aider magnifiquement à trouver d'où ca venait, en gros le bestiaux restait dans le home et donc tournait sans besoin de mdp.
moralité si je veux tester autre chose que Ad premiere, je vais vers da vinci resolve et basta ;)
@raoolito
Ce n’est pas un jugement ou une réponse hautaine, mais c’est pas possible de se faire rembourser les logiciels du store? J’avais cru lire ça quelque part mais jamais eu l’occasion de l’essayer.
@eX0
disons que ya 14 jours je coris sous reserve de ne pas l'utiliser.
Mais fondamentalement davinci je ne l'ouvre qu'un fois ou deux par trimestre :D c pour des petits projets sans importance qui s'y pretent bien. difficile de se faire rembourser ou meme d'acheter pour ca.
@raoolito
Sous réserve de ne pas l’utiliser? C’est une logique un peu foireuse de leur part.
@eX0
c pour toutes les app comme ca
@raoolito
D’expérience, on peut utiliser l’application. Il m’est arrivé plus d’une fois d’acheter quelque chose et de me faire rembourser après m’être rendu compte que ça ne remplissait pas ses promesses.
Et ça me paraît logique d’ailleurs: il faut bien l’avoir utilisé pour s’en faire une idée, et lors de la demande de refund il faut choisir une raison dans un menu déroulant et il y a entre autre la raison « ne fonctionne pas comme prévu » (de mémoire).
@ raoolito : « moralité si je veux tester autre chose que Ad premiere, je vais vers da vinci resolve et basta »
Ou vers la période d’essai gratuit de 90 jours proposée par Apple pour FCP. 😉
https://www.apple.com/final-cut-pro/trial/
@BeePotato
oui ya depuis un autre effet de bord: je trouve da vinci resolve tres intéressant ! mieux optimisé sur proc mx que final cut pro ( un comble)
ca a été démontré ici et sur d’autres sites mac
@eX0
Exactement, on prend ses responsabilités.
C’est comme si tu balance ton numéro de CB sur un site de cul nord coréen faudra pas pleurer si ton compte se fait dépouiller 😁
@fredsoo
En plus d’être accusé de soutien à Kim Jun Un :p
Cette bouze a été uniquement diffusé sur PIRATE BAY ou bien également sur YGG ?
@eX0
Hé oui on s’attend a quoi aujourd’hui quand on cherche des logiciels piratés ??? Peros, je. E plaindrais pas les gens qui se prennent un cryptoware quand ils ont voulu voler un éditeur …
@melaure
Déjà que les éditeurs eux même ou leurs sites peuvent être corrompus pour permettre le téléchargement de malwares.
En tout cas ma politique de mon côté est claire:
Soit j’ai le budget ou un besoin et je paye ce logiciel.
Soit un équivalent open source existe je l’utilise et je participe au projet de manière financière si je le trouve excellent si possible au moins une fois.
c'est pas facile de payer en avance pour un truc que tu ne maitrises pas au départ (les logiciels pros sont pas facile à maitriser, sinon on serait tous des pros dans ce domaine). tout l'apprentissage de logiciel ça passe par le piratage au début. pour ça que si on remarque bien, les logiciels qui dominent le marché sont tous ceux qui ont une politique anti piratage tolérante.
les logiciels qui font chier à les installer, personne les utilise au final. et Apple a une politique tolérante pour ses logiciels payants depuis toujours. j'avais jamais acheté par ex, Aperture, et Apple l'avait reconnu payant un moment tout seul. ils savaient que le prix demandé de l'époque 500 € était abusif pour ce genre de logiciel.
@marenostrum
Tu remarqueras que c’est uniquement les sociétés dont ce n’est pas le cœur de métiers qui possèdent ces logiciels pour établir un écosystème et qui peuvent se permettre de perdre de l’argent dessus parce qu’ils le récupèrent ailleurs.
Apple peut se permettre de perdre de l’argent dessus parce que ses revenus n’en dépendent pas.
Pareil pour Microsoft, ils ont légalisé massivement des windows et permis de passer d’un windows 7 à un Windows 11 en passant par toutes les autres versions parce que ce n’est pas Windows Home qui rapporte de l’argent. Pareil pour word, Excel etc.
C’est l’écosystème Windows en général et la dépendance crée à cet écosystème à la maison qui fait qu’il est omniprésent en entreprise quj rémunere vraiment. Et en entreprise les licences et l’écosystème qui va avec, payent largement plus. Comme les utilisateurs sons habitués à Windows Home, ils voudront pour une question de productivité du Windows, et aux entreprises on vend du windows pro ou entreprise. Et comme ils voudront sûrement une solution de courriels et de logiciels de bureautique parce que les gens sont drogues à Windows Excel word etc, on peut leur vendre en même temps un Windows office 365. Et comme Windows est intégré et facile à gérer avec Windows Azure, on leur vend un abonnement Windows Azure avec un Windows Serveur pour les fichiers, un Windows serveur pour la gestion d’utilisateurs et l’authentification et du Windows SQL Server pour les progiciels. C’est une question d’équilibre.
Laisser pirater c’est rendre les gens dépendant du logiciel pour facturer plus à ceux qui peuvent mais encore faut il que ces sociétés aient les finances qui compensent.
le développeur ne perd pas son argent, parce que celui qui pirate ne va jamais l'acheter son logiciel (qui est du vent, qui n'est pas matériel, on peut le copier à l'infini). il a pas l'argent. il achète un logiciel que dans le cas où il produit avec, il gagne sa vie. dans ce cas pour ne pas se faire chier, on achète, c'est plus facile. tu perds pas.
@ marenostrum : « le développeur ne perd pas son argent, parce que celui qui pirate ne va jamais l'acheter son logiciel »
Ce n’est pas forcément le développeur du logiciel concerné qui perd de l’argent. Ça peut être le développeur d’un concurrent moins cher, qui était à portée de la bourse de l’utilisateur pirate, mais qui n’a pas été acheté car ce dernier a préféré pirater le logiciel du gros éditeur archi-connu.
« il a pas l’argent. »
Ou il l’a, mais il n’a pas envie de l’utiliser pour ça, se rassurant en se disant que de toute façon ça ne fait pas perdre d’argent au développeur. 😉
@marenostrum
Pour continuer sur l’exemple de Microsoft et l’addiction créée, on se retrouve avec le premier ministre français qui se retrouve à obliger OVH et d’autres hébergeurs français à héberger une partie de Microsoft Azure, qui est un cloud concurrent, chez eux pour satisfaire aux réglementations européennes et avoir du « cloud souverain ».
Impressionnant ! Et toujours aussi sage de s'en tenir à des copies propres et légales :)
Pour le Moniteur d’activité, est-ce qu'il existe un contournement avec le terminal, par exemple la commmande "top" ? ou l'appli s'en sert aussi en arrière plan, ce qui serait aussi détecté ?
@jb18v
les gens de Jamf ont forcement une methode comme çà oui
Tu t'installes simplement un IStatMenu avec l'affichage de tes CPU et tu vas voir très vite si tes CPU tournent à fond pour rien...
Idem pour les accès réseaux.
Waou, merci pour l’image d’illustration, génial !
Elle vient d’où ? (Sur mobile on ne peut pas voir en tout cas j’ai l’impression, sinon désolé) Merci ! 🙏
@Lu Canneberges
Elle vient de Jamf ! Et je pense que c’est généré par une IA.
@nicolasf
> « Elle vient de Jamf ! Et je pense que c’est généré par une IA. »
Merci Nicolas ! 🙏
Est-ce qu’un malware peut s’installer sans crackage de logiciels, juste en surfant sur internet ?
Je pense à ces pubs intempestives qui se lancent sur certains sites qui demandent bien sûr d’enlever Adblock…
Une fois, il y a même un .png qui s’est téléchargé sans que j’ai rien demandé.
Je l’ai bien sûr mis direct à la poubelle.
@BingoBob
Sans aucune intervention de l’utilisateur, je ne crois pas. Dans le cas présent, il faut lancer la copie piratée de FCP, sinon il ne se passe rien.
Il faudrait peut-être déjà commencer par décocher la case "Ouvrir automatiquement les fichiers "fiables"" dans l'onglet "Général" de ton Safari.
J'aime bien, c'est tellement pas sûr, que même Apple y met des guillemets dans sa propre interface LOL
@BingoBob
La majorité des malwares s’installent par l’intervention de l’utilisateur, le reste sont des failles dans les logiciels (systèmes d’exploitations, navigateurs etc).
@BingoBob
Le coup du png c’est vrai ?!
C’est grave MacOS….
@ fredsoo
> C’est grave MacOS
Ce qui est grave, ce sont les accusations sans preuve (le "coup du png" rapporté par BingoBob).
Ce qui est dommage, c'est que des gens y croient malgré l'absence de toute preuve (parce que critiquer Apple c'est de bon ton chez certains.)
@marc_os
Je suis d’accord que le problème dans ce genre de situation se situe la plupart du temps entre la chaise et le clavier.
Ensuite détends ton string, au sujet de l’accusation je parlai de MacOS pas de ta mère.
@fredsoo
oui mais sur le fond il a pas tort
c pas possible de lancer un téléchargement par safari sans qu’il vous demande si vous voulez ( au moins depuis monterey)
@fredsoo
Oui, et mon fils me dit qu’il a même retrouvé des .dmg dans le fichier Téléchargement ! Il les a mis à la poubelle sans les ouvrir.
@BingoBob
quel os, quel safari ?
@raoolito
Le dernier. Tout est à jour.
@BingoBob
je ne vois pas comment il est possible de télécharger quoique ce soit sur safari sans l’avoir autorisé au préalable
@raoolito
Et pourtant. Je peux t’assurer pour l’avoir vu plusieurs fois, et particulièrement sur des pubs qui se lancent de manière ostentatoire, un fichier qui se télécharge sans que je ne le demande et que je retrouve en .dmg dans Télechargement.
Mon fils va aussi régulièrement sur des sites de téléchargement pas très légaux… mais soit.
@BingoBob
j’ai pourtant le warning qui demande si je veux télécharger a chaque fois , même sur des sites pas tres legaux
@raoolito
Ah ? Comment fais-tu ? Il faut que j’active la fonction alors.
@BingoBob
en fait c meme active par defaut chez moi ! j’ai même cherchéa le désactiver !! aucun antivirus installé, j’ai eu le warning sur mes deux installations from svratch the ventura et je l’avais sur monterey
il a voulu dire DMG (image disque, ISO est l'équivalent pour Windows) et pas PNG (fichier image).
« Ces malwares de dernière génération sont de plus en plus pernicieux, car ils s’installent sans action de l’utilisateur »
Ben si, là, il y a tout de même eu deux actions de l’utilisateur :
• Téléchargement d’une version pirate d’un logiciel.
• Exécution de ce logiciel.
@BeePotato
Yep
Bon, évidemment, je ne suis pas une oie blanche et il m'est arrivé dans le passé (parfois pas si lointain), de pirater des logiciels, parce que j'en avais besoin plus ou moins ponctuellement et que je n'avais pas forcément les moyens de les acheter (ou de m'y abonner… allô, Adobe ? 👀).
Cela étant dit, et spécifiquement pour Final Cut Pro et Logic (mais pas que), je ne comprends pas la logique de les pirater : ce sont des logiciels professionnels, donc à destination d'un public qui gagne sa vie avec ces produits, et étant donné leur coût somme toute raisonnable par rapport à l'utilisation professionnelle, il n'y a aucune justification, à mon humble avis, pour les pirater. Au surplus, concernant ces deux-ci et pléthore d'autres, des versions d'essai non bridées utilisables un mois sont proposées par les éditeurs, ce qui laisse largement le temps de se faire les dents dessus et des les acheter légalement.
Par ailleurs, je n'ai jamais vraiment compris pour quelle raison tant et tant d'utilisateurs piratent des logiciels comme Photoshop, dont ils n'utilisent qu'une fraction des fonctions qui sont par ailleurs disponibles dans d'autres produits complètement gratuits (je pense à Photos, par exemple), ou bien peu chers et sans abonnement (toute la gamme Affinity, que j'ai d'ailleurs fini par acheter).
Pirater FCP pour faire ce qu'iMovie permet est complètement dénué de sens, et franchement, je vais pas verser la moindre micro-larme pour les gens qui ont piraté le logiciel et se sont fait pourrir leur bécane !
@k2r
La suite adobe est censée être à but professionnel aussi.
@eX0
Tout à fait, mais c'est le concept d'abonnement qui me rebute. J'ai eu besoin d'InDesign / Illustrator / Photoshop pendant quelques années pour produire 4 ou 5 flyers et/ou programmes de concerts par an, et payer mensuellement pour ça (sachant qu'en plus, je faisais ce travail bénévolement pour des associations), eh bien je n'aime pas !
@k2r
Sûrement mais il existe des alternatives open sources ou avec un coût maitrisé sans abonnement.
Ce qui me pose problème dans ce débat et de manière large, c’est l’impossibilité des utilisateurs de considérer d’autres solutions.
Je l’ai fait aussi, je ne savais pas à l’époque mais dans mon métier je vois en permanence des gens, des organisations qui refusent de considérer d’autres solutions que celle établies meme si les alternatives sont présentes et répondraient à leurs besoins.
@k2r
Je précise que ce n’est pas contre toi ma remarque précédente.
Je trouve juste ça dommage parce que le soucis c’est que si personne ne donne de la force et du support aux alternatives, elles disparaîtront et on devra vivre avec les pratiques douteuses de certains leaders du marché.
@eX0
Je ne l’ai pas mal pris, sois tranquille !
Je ne suis personnellement pas fan du logiciel libre. Je trouve — et c’est mon avis perso — que la plupart du temps les interfaces sont moches et ne respectent pas les canons de macOS et ça me dérange (oui : je suis un vieux pépé rivé dans ses habitudes. Dans quelques millions d’années on retrouvera mon squelette figé dans l’ambre et ça donnera lieu à un film : Jurassic Mac !).
Mais je reconnais qu’il y a quantité de génies qui développent des logiciels libres absolument incroyables et c’est d’ailleurs grâce à eux que mon vénérable Mac Pro 2010 peut encore tourner sous macOS Ventura grâce à OpenCore Legacy Patcher.
Pages