Après trois mois d'enquête, le virus semble avoir été conçu à des fins politiques, en ciblant notamment les activistes favorables à un régime démocratique à Hong-Kong.
Les vulnérabilités sont patchées par Apple
Avant toute chose, la principale (et bonne) nouvelle est que les failles exploitées par le virus DazzleSpy sont connues d'Apple, et surtout patchées. Cela signifie que vous devez impérativement mettre à jour votre appareil tournant sous le système d'exploitation macOS si celui-ci est, au minimum, équipé de la version 10.15.2. Pour ce faire, rendez-vous dans « Préférences système » puis cliquez « Mise à jour du logiciel » et comptez maximum 30 minutes pour que la mise à jour soit téléchargée et installée.
Plus exactement, selon ESET, DazzleSpy semble avoir été conçu pour accomplir des campagnes particulièrement complexes, avec plus de mille lignes de code employées. Ainsi, un tel virus nécessite des pirates disposant de « fortes capacités techniques », et manifestement intéressés par le ciblage « probable des personnes politiquement actives et pro-démocratie à Hong Kong ».
Faut-il pour autant directement porter le regard vers Pékin ? ESET se garde bien de nommer un coupable potentiel. Ce sont des sites faussement favorables à l'instauration d'une démocratie à Hong-Kong qui ont été créés. Nombre de ces « faux » sites ne sont d'ailleurs plus disponibles, mais ont été créés entre septembre et octobre dernier et sont restés actifs plus d'un mois, distinguables par l'ajout dans l'URL du malicieux « iframe ». Par exemple, un site frauduleux nommé « Libérer Hong Kong, la révolution de notre temps » et employant le domaine fightforhk[.]com a été enregistré le 19 octobre 2021.
Un virus identifié depuis plusieurs mois
Pire, le site officiel d'une radio hongkongaise pro-démocratie, DP100, a lui aussi été piégé entre le 30 septembre et le 4 novembre 2021 avec le même « iframe ». Les visiteurs des sites infectés employant une version vulnérable de macOS ont par la suite été victimes d'un exploit nommé « mac.js » chargé par JavaScript.
Apple a également publié des correctifs pour iOS et iPadOS car une autre faille par laquelle s'engouffrait DazzleSpy provenait de WebKit, le moteur de navigation notamment utilisé par Safari (version 14.1 et antérieures).
Ainsi, l'enquête d'ESET révèle que ce malware est capable de prendre un contrôle complet des appareils sur lesquels il s'engouffre, à l'insu de l'utilisateur, qu'il peut dès lors espionner. Captures d'écran, extraction de fichiers, mais aussi espionnage par le biais d'un keylogger (littéralement un enregistreur de touches pour connaître les mots tapés sur le clavier) ou encore du micro, voilà autant de privilèges administrateur et de capacités (non exhaustives) que s'attribue ce virus. Le nombre de victimes potentielles n'est pas encore connu. Pour plus de détails sur DazzleSpy, n'hésitez pas à visiter le site d'ESET.
- moodVersion gratuite limitée
- devices1 à 5 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
Sources : Rapport de sécurité d'ESET, 9to5Mac