C'est la deuxième fois en moins d'un mois que la régie publicitaire de Google sert à diffuser des malwares sur Mac. Cette fois-ci, une fausse version de Teams sert de vecteur pour la distribution à Atomic Stealer.
On a beau clamer à tout-va que macOS est suffisamment sécurisé par défaut pour échapper efficacement aux cybermenaces, Malwarebytes vient une nouvelle fois de démontrer que ce n'est pas tout à fait vrai.
Trois semaines seulement après la découverte de fausses annonces Google pour Arc Browser, des chercheurs de l'entreprise ont mis le doigt sur une seconde campagne de malvertising à destination des utilisateurs de Mac. L'application visée ? Microsoft Teams qui, selon leurs investigations, occupe une place de choix parmi les tendances dans le milieu des cybermenaces.
Un trompe-l'œil particulièrement réussi
La combine était si bien ficelée que cette fausse publicité pour Teams a pu opérer incognito pendant quelques jours avant d'être repérée. Épinglé en tête des résultats de recherche, le lien sponsorisé semblait parfaitement légitime : titre correct, description pertinente, et, surtout, URL officielle.
Mais en creusant un peu, les équipes de Malwarebytes ont fini par se rendre compte que le véritable annonceur n'avait rien à voir avec Microsoft. Installé à Hong Kong, administrateur de centaines d'autres annonces sans aucun rapport avec Teams, et identifié sous un autre nom que celui de la firme de Redmond, il n'en fallait pas plus aux chercheurs pour soupçonner, à raison, des activités malveillantes dissimulées derrière une mise en forme trompeuse.
La filouterie a par la suite été confirmée au moyen d'une capture d'analyse réseau. Après s'être assurés que les clics sur la publicité provenaient bien d'internautes lambda, et non de bots ou de connexions VPN, les cyberattaquants recourent à des techniques de dissimulation de redirection qui font le lien entre l'URL initiale et la page de téléchargement corrompue.
Les victimes ayant cliqué sur un lien officiel en apparence atterrissent sur une page web estampillée avec un nom de domaine différent, mais crédible, sur laquelle se trouve un bouton de téléchargement pour Teams. Derrière ce simulacre est en fait généré un payload unique pour chaque visiteur.
Le fichier malveillant téléchargé a, lui aussi, tout d'un DMG officiel. Seul élément permettant de mettre la puce à l'oreille des utilisateurs et utilisatrices les plus avertis : la nécessité de l'installer dans le menu du clic droit pour court-circuiter les mesures de sécurité intégrées aux systèmes Apple.
La suite de l'installation requiert la saisie du mot de passe utilisateur ainsi qu'une autorisation d'accès au système de fichier. En clair, rien d'anormal pour qui pense installer une nouvelle application macOS, mais qui correspond en tout point au mode opératoire d'Atomic Stealer pour pouvoir dérober des trousseaux de mots de passe, numéros de comptes, informations confidentielles et fichiers importants. Bien évidemment, à l'issue du processus, l'appli plante (code erreur), et l'internaute n'a d'autre choix que de retélécharger une version légitime de Teams pour espérer la voir fonctionner.
En attendant, le mal est fait. Exécutée sur la machine, la charge utile crée une backdoor et peut exfiltrer des données vers un serveur distant en toute liberté.
Des règles de sécurité à respecter
Alors, concrètement, comment éviter de se faire avoir par des méthodes de piratage de plus en plus sophistiquées ? Première chose : ne jamais récupérer d'applications directement depuis la page des résultats de recherche, encore moins depuis des liens sponsorisés. La plupart des logiciels macOS de la trempe de Teams sont disponibles dans l'App Store qui demeure, à ce jour, la plateforme de téléchargement la mieux sécurisée pour les appareils Apple.
Pensez aussi à installer sur votre navigateur (Safari ou autres) des bloqueurs de publicités et de contenus malveillants agressifs pour empêcher la diffusion des annonces sur les moteurs de recherche et bloquer l'accès aux pages web frauduleuses.
Et si jamais vous pensez être tombé dans le piège, une analyse complète à l'aide d'un bon antivirus devrait vous débarrasser assez rapidement d'Atomic Stealer.
30 septembre 2024 à 15h50
Source : Malwarebytes
