Posté le janvier 26, 2019 à 20:02

LES PRODUITS APPLE CIBLÉS PAR LES PROGRAMMES MALVEILLANTS SE CACHANT DANS LES IMAGES EN LIGNE

Bien que le nombre de menaces en ligne ait augmenté à plusieurs reprises au cours des dernières années, de nouveaux rapports affirment que les utilisateurs de produits Apple commencent à en faire l’expérience en plus grande quantité. Un rapport récent publié par une société de cybersécurité, Confidant, affirme que c’est également le cas après que les chercheurs de l’entreprise ont détecté une nouvelle méthode d’infection par des logiciels malveillants ciblant les utilisateurs Mac.

Selon le rapport de l’entreprise, l’opération a été menée par un groupe de malvertising connu sous le nom de VeryMal. Le groupe cible spécifiquement les utilisateurs d’Apple, ce qui a fait penser à un autre groupe signalé l’an dernier, ScamClub.

Le rapport mentionne également que VeryMal utilise des techniques de stéganographie qui lui permettent de cacher les codes malveillants dans les images contenues dans les publicités en ligne. Alors que la principale similitude entre ScamClub et VeryMal réside dans le fait qu’ils ciblent tous deux les utilisateurs de produits Apple, ScamClub a généré un impact beaucoup plus important. Ce groupe a réussi à détourner 300 millions de sessions web parmi les utilisateurs d’iOS aux Etats-Unis, alors que les publicités infectées par VeryMal n’ont été vues que par 5 millions d’utilisateurs, bien que le nombre réel de ceux qui avaient leurs appareils infectés reste inconnu.

Le rapport affirme également que la nouvelle opération n’a été active que pendant deux jours, du 11 au 13 janvier.

Comment fonctionne l’attaque?

Le rapport de Confidant décrit l’attaque étape par étape, indiquant qu’elle commence lorsqu’un utilisateur Mac charge un site Web légitime, qui charge ensuite un emplacement publicitaire contenant une image qui cache un code malveillant caché. L’emplacement publicitaire lui-même charge alors un code JavaScript, qui vérifie si les polices appropriées sont prises en charge par l’appareil.

JavaScript lit alors le fichier image et, ce faisant, extrait le code malveillant qui s’y trouve. Après l’avoir détecté, JavaScript exécute le code, qui est en fait une commande qui redirige le navigateur vers une nouvelle URL. Cette méthode est utilisée pour amener l’utilisateur à une page affichant un avertissement indiquant que le lecteur Adobe Flash Player de l’utilisateur n’est pas à jour et qu’il doit être mis à jour. Si l’utilisateur se fait piéger, son appareil télécharge le cheval de Troie Shlayer, qui infecte immédiatement l’appareil.

La méthode est remarquable par sa discrétion et sa sophistication, ce qui indique que les techniques des pirates informatiques évoluent pour correspondre et surpasser les systèmes de sécurité Mac. Quant à l’annonce elle-même, il semble qu’elle ne nuit en rien à l’appareil, si ce n’est qu’elle redirige le navigateur vers une page contenant le fichier infecté par un cheval de Troie.

Pour cette raison, les utilisateurs ne doivent jamais installer de mises à jour logicielles provenant de sources externes, ni authentifier les requêtes du système d’exploitation sans savoir pourquoi elles sont nécessaires et ce qu’ils vont faire.

Les chercheurs ont également noté que VeryMal a tenté d’effectuer des attaques similaires contre les produits Apple auparavant, bien que leurs méthodes ne fussent pas aussi sophistiquées.

Les cybermenaces sur Mac évoluent

Malwarebytes a également commenté la nouvelle méthode, confirmant que les périphériques infectés contiennent Shlayer, qui est généralement utilisé pour infiltrer le système et permettre l’installation d’autres logiciels malveillants.

Jusqu’à présent, les chercheurs pensent que VeryMal, tout comme ScamClub avant lui, ne cible que les utilisateurs américains dans la plupart de ses opérations. En outre, les chercheurs pensent que la stéganographie est de plus en plus populaire en tant que technique, ce qui signifie que les utilisateurs d’iOS doivent être prudents pendant leurs sessions en ligne. Bien que Mac ait toujours été félicité pour avoir de meilleures défenses que les autres systèmes d’exploitation, il semble que les mauvais acteurs trouvent aussi le moyen d’endommager ses systèmes.

Pour cette raison, les utilisateurs ne doivent jamais installer de mises à jour logicielles provenant de sources externes, ni authentifier les requêtes du système d’exploitation sans savoir pourquoi elles sont nécessaires et ce qu’ils vont faire.