La troisième attaque macOS Zero-Day profite de Safari

La troisième attaque macOS Zero-Day profite de Safari

⌛ Reading Time: 3 minutes

Il fut un temps où les Mac étaient considérés comme à l’abri des logiciels malveillants et d’autres maux. Les attaquants préféraient s’en prendre aux utilisateurs de Windows simplement parce qu’ils étaient plus nombreux – les attaquants pouvaient en avoir plus pour leur argent. Cela a changé, cependant, avec de plus en plus de personnes possédant des Mac. Cela a conduit à une troisième attaque zero-day sur macOS en moins d’un an, permettant aux attaquants de profiter de plusieurs manières via Safari.

Découverte de la troisième attaque macOS Zero-Day

En août dernier, des experts en sécurité ont découvert XCSSET, une attaque zero-day qui a affecté les développeurs Mac. Il leur a donné accès aux cookies et fichiers du navigateur. Il a également laissé derrière lui des portes dérobées de site Web et s’est enfui avec des informations provenant d’applications tout en laissant une demande de rançon. En mars dernier, les chercheurs de SentinelOne ont découvert une bibliothèque de code cheval de Troie qui a installé le malware XCSSET sur les Mac des développeurs.

Une troisième instance de XCSSET a été découverte par les chercheurs de Trend Micro. Dans ces deux attaques zero-day sur macOS, l’une profite d’une faille pour voler des cookies, et l’autre profite d’une édition développeur de Safari. Les chercheurs ont trouvé que les attaques étaient “assez inhabituelles”.

« Le code malveillant est injecté dans les projets Xcode locaux afin que lorsque le projet est construit, le code malveillant est exécuté. Cela présente un risque pour les développeurs Xcode en particulier. La menace s’intensifie depuis que nous avons identifié les développeurs concernés qui ont partagé leurs projets sur GitHub, conduisant à une attaque de type chaîne d’approvisionnement pour les utilisateurs qui s’appuient sur ces référentiels en tant que dépendances dans leurs propres projets », lit-on dans un article de blog sur le site Web de Trend Micro. Les chercheurs pensent que les attaques pourraient être généralisées, car le malware a également été identifié sur les sources de VirusTotal.

Les chercheurs ont détecté la menace d’entrée sous le nom de “TrojanSpy.MacOS.XCSSET.A et ses fichiers liés à la commande et au contrôle (C&C) sous le nom de Backdoor.MacOS.XCSSET.A”.

Le mal causé par XCSSET

Les projets de code X et les applications modifiées sont créés à partir du malware et propagent l’attaque. Ce que l’on ne sait pas, c’est comment le malware atteint ces Mac. Ce que l’on sait, c’est que les projets de code X ont été modifiés pour exécuter un code malveillant, qui atteint les Mac, entraînant le vol des informations d’identification des utilisateurs et d’autres informations.

Une fois qu’il atterrit sur un système, XCSSET peut :

  • Abus de Safari et d’autres navigateurs
  • Lire et supprimer les cookies Safari
  • Injecter des backdoors sur la version de développement de Safari via une attaque UXSS
  • Voler des informations à partir d’applications
  • Prendre des captures d’écran
  • Télécharger des fichiers utilisateur sur le serveur de l’attaquant
  • Crypter les fichiers
  • Afficher une demande de rançon
Ordinateur portable Macos Zero Day Attack

Une attaque UXSS affecte principalement la navigation. Ça peut:

  • Modifier des sites Web
  • Modifier/remplacer les adresses Bitcoin et crypto-monnaie
  • Voler les identifiants du compte
  • Voler les informations de la carte de crédit de l’Apple Store
  • Empêcher l’utilisateur de modifier les mots de passe tout en volant les mots de passe modifiés
  • Prendre des captures d’écran

Avec trois occurrences de l’attaque zero-day Mac en moins d’un an, on ne sait pas où et quand elle frappera ensuite. Trend Micro suggère aux utilisateurs de télécharger uniquement des applications à partir de sources officielles et légitimes et d’utiliser une solution de sécurité multicouche.

Lisez la suite pour découvrir quelques vérités laides sur les exploits zero-day et si Windows Defender est assez bon en 2021.