Les chercheurs d'Intego ont découvert un nouveau malware Mac qui incite les utilisateurs à contourner les dernières protections de sécurité macOS.
Dans macOS Catalina, Apple a introduit de nouvelles exigences pour la signature d'applications. Ces exigences basées sur Gatekeeper rendent difficile pour les utilisateurs d'ouvrir des applications qui n'ont pas été vérifiées, ce qui oblige les auteurs de logiciels malveillants à être plus créatifs dans leurs tactiques pour coloniser les ordinateurs des utilisateurs.
Par exemple, les chercheurs d'Intego ont découvert un nouveau cheval de Troie malveillant qui se propage parmi les ordinateurs via de faux résultats de recherche Google incitant les utilisateurs à désactiver eux-mêmes ces protections.
Le logiciel malveillant apparaît sous la forme d'un disque image.dmg déguisé en programme d'installation d'Adobe Flash. Mais une fois monté sur l'ordinateur de l'utilisateur, il invite les utilisateurs à effectuer eux-mêmes l'installation de logiciels malveillants.
Utilisant une tactique qu'Inter décrit comme "roman", le malware demande aux utilisateurs de cliquer avec le bouton droit de la souris et d'ouvrir le malware au lieu de double-cliquer dessus. Avec les paramètres Gatekeeper dans macOS Catalina, une boîte de dialogue apparaît avec un bouton "Ouvrir". Normalement, lorsque vous cliquez sur un fichier non vérifié, Apple ne permet pas aux utilisateurs de l'ouvrir aussi facilement.
En fait, macOS décourage les utilisateurs d'ouvrir des fichiers à partir d'applications non vérifiées, ce qui rend la procédure plus lourde. Plus précisément, il oblige les utilisateurs à ouvrir les Préférences Système pour remplacer Gatekeeper. Cette stratégie empêche également les attaquants de prendre le contrôle d'un compte de développeur Apple ou de détourner un compte existant.
Une fois que les utilisateurs ont ouvert l'application d'installation, ils exécutent un script shell bash et extraient un fichier .zip protégé par mot de passe contenant un package malveillant plus conventionnel. Bien qu'il installe initialement une version légitime de Flash, Intego affirme qu'il peut être utilisé pour télécharger "tout autre malware ou adware pour Mac".
Heureusement, Adobe Flash entrera dans l'histoire et cela rendra plus difficile pour les personnes malveillantes de trouver des applications qui doivent être installées si largement.
En attendant, voici la règle d'or à suivre : ne pas installer Flash et refuser de visiter ou de faire affaire avec des sites Web qui continuent à utiliser cette technologie.