Un nouveau cheval de Troie caché dans des versions piratées de logiciels Mac
Vous vous en doutez, on ne le répétera jamais assez : installer une version piratée d’un logiciel pour Mac peut être dangereux. Kaspersky a en effet signalé une campagne en cours visant à camoufler des malwares dans des moutures crackées de programmes macOS populaires. Ces chevaux de Troie infectent les ordinateurs et les transforment en « machine zombie », c’est à dire en des passerelles pour rendre anonymes des activités malveillantes ou illégales (hacking, hameçonnage, attaque DDoS, etc.).
Au total, Kaspersky a trouvé 35 outils d'édition d'images ou de vidéos infectés, mais note aussi des logiciels de récupération de données ou d'analyse de réseau. Le but est évidemment de tirer parti de l’imprudence de certains utilisateurs, alléchés par une version gratuite d’un logiciel payant. Les programmes les plus connus de la liste sont Sketch, 4K Video Donwloader Pro, Downie 4, Wondershare UniConverter 13 ou encore Aissessoft Mac Data Recovery.
Contrairement aux versions habituelles téléchargeables comme une image disque, ces moutures sont proposées sous la forme d’installeurs .PKG ayant l’avantage (pour les pirates) de pouvoir exécuter des scripts pendant l’installation. Comme les fichiers .PKG demandent les droits administrateur au moment de démarrer, ils peuvent potentiellement effectuer des actions dangereuses : modifier des fichiers, exécuter des commandes…
Kaspersky explique que les scripts de ces nouveaux malwares s’activent après installation, se faisant passer pour le processus système WindowServer (dont la version légitime sert à faire tourner la partie visuelle de l’interface de macOS). Le processus est lancé au démarrage par un fichier « GoogleHelperUpdater.plist », cherchant là aussi à se faire passer pour un véritable élément pour ne pas avoir l’air louche. Une fois tout en cela en place, le script communique avec un serveur en attendant des instructions.
En plus de versions macOS, Kaspersky a également noté que des chevaux de Troie similaires avaient été déployés pour Android et Windows, prouvant que les pirates ciblent de nombreux systèmes. Si cette histoire montre que macOS est loin d’être infaillible, les ingénieurs d’Apple haussent le ton contre les malwares depuis quelques temps. macOS Sonoma a notamment apporté de nouveaux outils contre les menaces, avec par exemple des scans plus réguliers ou l’analyse d’éléments plus variés.
Ça par exemple, les versions piratées de logiciels peuvent contenir des choses pareilles… quelle surprise.
Comment vérifier si on est infecté , hormis Malwarebytes ?
@ratz
Tu peux installer Little Snitch et vérifier les communications sortantes.
Perso, j'utilise Lulu, ça fait moins de choses, mais c'est gratuit et ça fait le principal 🙂
@ratz
Déjà faut avoir installé des softs pirates en installeurs .pkg
Si cous ne l'avez pas fait depuis la dernière réinstallation de l'os, ya aucun risque
@raoolito
Exactement, et si tu pirate tes supposé savoir comment sa fonctionne pour être protéger le plus possible. Sinon c’est sûr, c’est toujours mieux de ne pas le faire, travailler et payer les devs.
@ratz "Comment vérifier si on est infecté"
Doctolib... →→→→→→
Encore une fois le problème est entre la chaise et le clavier. C’est pareil avec les téléphones.
Une fois j'ai été infecté parce que j'avais téléchargé Handbrake sur le site officiel de Handbrake. Certes j'aurais dû comparer les hash, mais ça reste une démarche un peu fastidieuse quand on télécharge un logiciel hors App Store par an...
@lll
Cest un cas très rare ! Mais oui je me souviens très bien de cette histoire, ce qui m’as fait désinstaller handbrake depuis ce jour.
@⚜Dan
C’est arrivé avec Transmission également il y a quelques années.
@lll
Si c’est une fois par an, compare les hash.
@Brice21
Quand on y connaît rien, c’est quoi et comment comparer un hash ? (Vraie question, je ne sais absolument pas de quoi vous parlez…)
Le hash, ou checksum, est une chaine de caractère obtenue par un calcul savant sur le code du logiciel. Si celui-ci a été modifié par un malandrin, le hash n'est plus le même et la comparaison permet de s'en rendre compte.
Tout ceci est très bien expliqué sur la page 'dowload' de handbrake, par exemple
@Romuald
D’accord merci mais cela ne répond pas vraiment à ma question : comment comparer avant de lancer ou de télécharger ?cette vérification doit se faire à chaque fois qu’on installe une app ? C’est ce que semblait préconiser le voisin du dessus….
@fredsoo
Très difficile à avoir sur iOS quand même 😉
@Krysten2001
C’est pour les détracteurs du futur sideloading 😁😌
@Krysten2001
Je plussoie, de temps à autre il y des listes d'app contenant des logiciels malveillants, exemple ici :
https://www.01net.com/actualites/epidemie-malwares-android-ios-desinstallez-vite-203-applications-malveillantes.html
Du coup j'imagine que cela peut aussi être le cas sur le Mac App Store...
Cette App gratuite (sur le Mac App Store) m'intéresse :
https://gerry.video/about.html#download
J'imagine que le seul moyen d'être certain que ça n'a pas d'action négative est de l'installer dans une VM avec Lulu... ce qui commence à être long pour un logiciel.
> Le but est évidemment de tirer parti de l’imprudence de certains utilisateurs
Je dirais plutôt :
Le but est évidemment de tirer parti de la radinerie de certains utilisateurs
Moi je dis : Bien fait pour eux.
+1
Et bientôt sur iOS … avec les hommage de l’Union Européenne.
@Brice21
j'ai hâte, mdr
On est obligé de croire à cette information ?
@lepoulpebaleine
"On est obligé de croire à cette information ?"
Oh non. Bien sûr que tu n’es pas « obligé ». Heureusement, on est dans un pays libre et personne ne va t’exécuter car tu crois ou ne crois pas à quelque chose. Aucun homme en noir ne vas venir à ta porte et te pourchasser pour ça.
C’est juste une information. Libre à toi d’en faire ce que tu veux.
Après il ne faudrait pas tomber dans le complotisme et la désinformation justement.
Sans jugement aucun, malewarebyte offrirait une protection suffisante contre ce type de cheval de troie ?
Dans l’article, il explique qu’un script fait croire qu’il est un autre programme juste parce qu’il porte le même nom. Ne serait-il pas possible de blocklist certains noms pour interdire d’utiliser un nom sans une signature électronique.
Ne serait-il pas possible de préfixer tous les process qui viennent de l’OS par Apple par exemple Apple.WindowServer et d’interdire que les programmes des développeurs portent ce nom ?
De même, seul Google devrait être autorisé à utiliser à porter ce prefixe.