Attention à CloudMensis, ce nouveau spyware qui cible les utilisateurs de Mac

Publié le 01 août 2022 à 16h08

Traditionnellement, les utilisateurs de Mac sont moins exposés aux virus et menaces que leurs homologues sur PC. Cependant, ils sont loin d'être immunisés et une nouvelle faille les ciblant exclusivement a d'ailleurs été identifiée.

Dans un article du 19 juillet dernier, les chercheurs ESET, spécialistes de la sécurité informatique, détaillent la découverte d’un nouveau spyware qu’ils baptisent CloudMensis.

Comment CloudMensis agit-il ?

En bon logiciel espion, CloudMensis s’installe à l’insu de l’utilisateur et se dissimule pour chercher à collecter des données sur l’ordinateur cible en toute discrétion. Les experts d’ESET l’ont appelé ainsi parce qu’il se sert de différents services de stockage dans le cloud et identifie ses dossiers grâce à des noms de mois.

Dans son article, le chercheur Marc-Étienne Léveillé indique qu’il ignore comment le logiciel est distribué. Compte tenu du peu de présence relevée, l'expert suggère que CloudMensis est un logiciel espion ciblé. Son but ne serait donc pas de collecter un maximum de données grand public, mais plutôt de voler les informations de cibles identifiées et représentant un intérêt particulier.

CloudMensis pourrait utiliser 39 commandes différentes ayant notamment pour objet de récupérer tout type de données dignes d’intérêt : documents, captures d’écran, pièces jointes de courriel ou encore des suites de caractères saisies sur le clavier.

Qui est concerné et comment l’éviter ?

Il semblerait que CloudMensis intervienne par le biais de trois prestataires de stockage dans le cloud : pCloud, Yandex Disk et Dropbox. En effet, des jetons d’identification de ces logiciels ont été retrouvés dans les extraits de code analysés par le chercheur.

Cependant, comme nous l’avons précisé plus haut, ce spyware ne semble pas destiné au grand public. Selon l’auteur de l’article, le meilleur moyen d’éviter d’être infecté est avant tout de maintenir sa machine à jour avec les dernières versions de macOS et des clients de stockage dans le cloud. Installer un antivirus pour Mac est également fortement conseillé.

Apple a d’ailleurs annoncé sa prochaine mouture du système d’exploitation du Mac. Baptisée macOS Ventura, cette mise à jour devrait sortir à l’automne 2022 et intégrera un mode isolement (lockdown mode) qui réduira drastiquement les fonctionnalités de l’appareil pour le protéger en cas de risque imminent. Cette nouvelle protection sera disponible sur Mac, mais aussi sur iPhone et iPad.

Source : Eset

Par Lucas Guillemot

Aucun résumé disponible

Articles de Lucas Guillemot

Piratage

Malware / Ransomware

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (5)

Werehog

Le bon moyen pour éviter d’avoir un logiciel vérolé, c’est aussi d’éviter d’ouvrir n’importe quoi dans ses mails, ou d’installer des logiciels qu’on trouve à droite à gauche sur le Net…

Werehog

Les utilisateurs Apple sont au moins aussi bêtes que les utilisateurs Windows… Et pourtant j’ai du Apple

briceio

Sauf que si tu n’autorises que l’installation des soft signés c’est impossible de se faire avoir…

f-dzt

malheureusement, il ne fonctionne pas à tous les coups

francoismorin2021

salut parlons donc de choses peu connu pour certaines personnes
utilisateur de MAC .

compromission le plus performant mais aussi le plus complexe à mettre en oeuvre .
est d’exploiter les accès directs à la mémoire ram ( les accès DMA ) .
les interfaces firewire et ou / thunderbolt présentes sur tous les MAC BOOK
permettent ce type d’accès .
ces interfaces sont reliées directement à la mémoire RAM
sans passer par le microcontrôleur et peuvent donc difficilement bénéficier de la protection
du système d’exploitation .

un attaquant peut modifier le contenu de la mémoire et contourner l’authentification
d’ouverture de session proposée par MAC OSX .

il lui est également possible d’élever les priviléges de n’importe quel utilisateur
du système afin d’obtenir les droits d’administration .

par ailleurs ces interfaces firewire et / ou thunderbolt permettent d’accéder à de très
nombreuses fuite d’informations . l’écriture en mémoire RAM étant possible la lecture
également ainsi les informations sensibles suivantes peuvent être volées .

mots de passe en clair de l’utilisateur s’étant connecté ou étant connecté .
( session active et / ou session verrouillée ) .
mots de passe du trousseau d’accès ( si celui-ci n’est pas identique au mot
de passe système .
mots de passe saisis à travers le navigateur web . clef utilisée pour chiffrer
intégralement le disque dur ( filevault2 ) .

mots de passe d’accès à des ressources d’un domaine ( microsoft exchange . serveur
de fichiers SMB . etc ) .

en fin de compte cet accès DMA permet de voler des informations par un simple
accès physique au système .
alors qu’il fallait jusqu’ici avoir réussi à installer un logiciel malveillant
avec les droits d’administration pour arriver au même résultat .

en réalité peu de propriétaires de MAC sont conscient qu’il est possible de modifier
le mot de passe de leur trousseau d’accès . tellement peu conscient que les moteurs
de recherche indexent aujourd’hui des centaines des trousseaux d’accès en libre accès .

dans un scénario de piratage où un attaquant est parvenu à obtenir un accès au système
sans connaitre le mot de passe du compte utilisateur usurpé ( comme par exemple
avec une session laissée ouverte pendant une pause ) .

il ne lui est pas possible à première vue d’accéder aux mots de passe contenus
dans le trousseau d’accès .

malheureusement la commande système ( security dump - keychain - d ) lancée
au travers du terminal ( donc avec les droits de l’utilisateur courant ) permet de visualiser
les mots de passe du trousseau en clair sans que le mot de passe du compte
utilisateur ne soit demandé .

ainsi malgré le chiffrement du trousseau d’accès un attaquant a la possibilité
de réaliser de multiples usurpations d’identité sur des services proposés
tels que evernote .

voilà pour l’info et encore j’ai fait très simple ici .

sur ceux je vous souhaite une très bonne soirée .
ainsi que de bonne fête de fin d’année .