Liste des virus et des failles de sécurité sur MacOS

 Apple fournit plusieurs fonctionnalités qui aident les utilisateurs à protéger leurs systèmes et leurs données personnelles contre les applications infectieuses ou les logiciels malveillants.

Par exemple, dans les macOS, les utilisateurs ont la possibilité, sous Paramètres dans les préférences Sécurité et confidentialité, de spécifier la source du logiciel installé sur leur système afin qu’aucune installation de logiciel tiers n’ait lieu.

En outre, Apple a son outil antivirus intégré – XProtect qui comprend toutes les définitions de logiciels malveillants. Chaque fois que les utilisateurs téléchargent une application, il vérifie si ces définitions sont présentes.

Malgré cela, il existe une longue liste de logiciels malveillants Mac à l’état sauvage. Nous venons avec une liste de quelques-uns dans cet article – vérifiez ci-dessous.

Moineau argenté

La société Red Canary Security a découvert ce malware ciblant les Mac équipés d’un processeur M1. Le malware, baptisé Silver Sparrow, a déjà infecté 29, 139 ordinateurs Mac. Les cibles proviennent de plus de 153 pays, dont les États-Unis, le Royaume-Uni, le Canada, la France et l’Allemagne. On ne sait pas encore dans quelle mesure le malware constitue une menace et si toutes les cibles possédant les Mac M1.

 Pirri / GoSearch22

Ceci est une application publicitaire. Il cible également les Mac M1 et est spécialement compilé pour la plate-forme ARM d’Apple. Comme d’autres logiciels publicitaires, il propose diverses publicités intrusives.

FakeFileOpener

Cette application est approuvée en tant qu’optimiseur de système. Cependant, il s’agit d’une application potentiellement indésirable qui suggère aux utilisateurs avec pop-up qu’ils ont besoin de certains logiciels pour ouvrir une application et offrent de l’aide pour rechercher de tels logiciels sur le Web. Dans d’autres cas, les gens reçoivent un faux message d’infection du système. Le logiciel pousse certaines autres applications indésirables à télécharger pour supprimer les problèmes non existants.

ThiefQuest (alias EvilQuest)

Le malware se propage via un logiciel piraté trouvé sur un forum torrent russe. Lorsqu’il a été observé pour la première fois en 2017, il a été appris qu’il s’agissait d’un ransomware. Cependant, il n’agit pas comme des virus de type ransomware. Il crypte les fichiers mais ne fournit aucune preuve aux utilisateurs de payer la rançon et ensuite de décrypter leurs fichiers. Plutôt que d’extorquer la rançon, le logiciel malveillant tente d’obtenir les données des utilisateurs.

LoudMiner

LoudMiner, alias Bird Miner, est un mineur de crypto-monnaie. Il tente d’utiliser la puissance de Mac pour générer des revenus. Il a été observé pour la première fois en 2019. Une installation fissurée, Ableton Live est habituée à distribuer ce malware.

Rechercher

Il s’agit d’un logiciel publicitaire pour MacOS, observé à l’état sauvage en 2019, dérangeant les utilisateurs avec des publicités intrusives après avoir chiffré leur trafic Web.

FakeAV

Il s’agit d’un nom générique donné aux logiciels malveillants qui prétendent être des applications antivirus pour MacOS.

GravitéRAT

GravityRAT, comme le montre le suffixe, est un type de malware de type cheval de Troie. Selon Kaspersky, la recherche sur la sécurité, le malware peut également affecter les appareils Mac. Les RAT peuvent télécharger des fichiers de bureau, prendre des captures d’écran automatiques et enregistrer les journaux du clavier. Ils infiltrent les systèmes en volant des certificats de développeur, puis créent plusieurs copies de divers programmes légitimes à partir de .net, python et Electron.

Logiciel malveillant XCSSET

Ce malware est distribué via des projets Xcode publiés sur Github. Le malware est en fait un usé qui exploite les vulnérabilités dans Webkit et Data Vault. Il vise à collecter les informations de connexion pour les services Apple, Google, Paypal et Yandex via le navigateur Safari. En outre, il peut collecter les informations et les messages envoyés via Skype, Telgram, QQ et Wechat.

OSX / Shlayer

Basé sur Intego, une nouvelle variante du malware OSX / Shlayer a été détectée en cours de distribution via un faux programme d’installation de Flash Player en février 2018. Au cours de l’installation, le programme d’installation vide une copie d’Advanced Mac Cleaner. Il indique que l’appareil des utilisateurs a été infecté et qu’ils doivent utiliser le logiciel pour résoudre le problème.

Si vous recevez un tel message, n’y croyez jamais, cela indique souvent que le lecteur Adobe Flash doit être mis à jour, car il ne s’agit que d’une arnaque.

 Intego a découvert ce nouveau cheval de Troie utilisé pour contourner les messages de sécurité de MaOS Catalina en lançant un guide d’installation qui guide les utilisateurs dans toutes les étapes nécessaires.

OSX / CrescentCore

Cette application peut être trouvée sur plusieurs sites Web qui pourraient être prétendus comme un site de téléchargement de bandes dessinées. Ces sites peuvent également être affichés dans les résultats de recherche Google. CrescentCore est déguisé en fichier DMG du faux programme d’installation de Flash Player. Avant cela, il vérifie le système s’il s’agit de machines virtuelles et recherchait des outils antivirus. Lorsque la machine n’est pas protégée, elle installe un LaunchAgent, un Mac nommé extension Safari Advaced Mac Cleaner.

Crescent Core peut contourner le Gatekeeper d’Apple car il avait un certificat de développeur signé d’Apple. Mais, dans ce cas, la signature est finalement révoquée par Apple. Bien que le portier doive l’arrêter, il peut le faire passer.

OSX / Linker

Il a été repéré en 2019 pour être distribué via un exploit dans une vulnérabilité zero-day dans Gatekeeper. La vulnérabilité a été révélée cette année-là par la même personne qui a découvert le logiciel malveillant le 24 mai après que Apple n’a pas réussi à corriger la vulnérabilité en 90 jours.

OSX / NewTab

Ce malware ajoute un onglet au navigateur Web Safari. Il est signé numériquement avec un identifiant de développeur Apple enregistré.

NetWire et Mokes

Intego l’a décrit comme un malware de porte dérobée – un malware capable d’enregistrer des frappes au clavier, de prendre des captures d’écran.

CookieMiner

Il s’agit d’un virus mineur de crypto-monnaie découvert fin janvier 2019. Le malware est conçu pour voler le mot de passe des utilisateurs et les données de connexion pour les portefeuilles de cryptage de Chrome et obtenir l’authentification pour utiliser les cookies associés aux échanges de crypto-monnaie et accéder à iTunes sauvegardes. L’unité 42, le chercheur qui a découvert cette menace, suggère aux utilisateurs que leurs navigateurs devraient être effacés et que tous les caches devraient être supprimés après avoir utilisé des comptes financiers.

Fixateur automatique Mac

Il s’agit d’un programme potentiellement indésirable qui est souvent fourni avec d’autres logiciels sur le système. Il montre des pop-ups et diverses publicités intrusives.

Mshelper

Il s’agit d’un cryptominer qui a été repéré pour la première fois dans la nature en 2018. Les victimes ont rapporté que leurs fans ont commencé à fonctionner plus rapidement que jamais lorsque le malware s’infiltre dans leurs systèmes, ce qui conduit le système à fonctionner plus chaud que d’habitude – une indication que les processus d’arrière-plan monopolisaient les ressources.

MaMi

Le malware a été signalé pour la première fois par Hacker News. Il redirige le trafic en ligne vers des serveurs malveillants et peut interrompre les informations sensibles. Le malware est également capable d’installer un nouveau certificat racine pour intercepter les communications cryptées.

DoK

CheckPoint Software Technologies a repéré ce malware à la fin du mois d’avril 2017. Le malware est un cheval de Troie, capable de contourner la protection d’Apple et pourrait détourner tout le trafic entrant et sortant du Mac même sans demander l’autorisation des utilisateurs pour cela et sur les connexions cryptées SSL-TLS . Le malware cible les utilisateurs via une campagne de spam. Vous devez ne pas répondre aux e-mails qui semblent suspects et non pertinents, si vous voulez qu’aucun logiciel malveillant ne s’infiltre dans votre système.

Agent X

Le logiciel malveillant est capable de voler des mots de passe, de prendre des captures d’écran et de récupérer des sauvegardes iPhone stockées sur le Mac. Il vise les militaires ukrainiens et a été pensé pour être le travail du groupe de cybercriminalité APT28.

MacDownloader

Des chercheurs en sécurité ont averti les utilisateurs en 2017 de cette menace que le logiciel malveillant se cachait dans une fausse mise à jour d’Adobe Flash. Lorsque le programme d’installation est exécuté, les utilisateurs reçoivent une alerte indiquant qu’un logiciel publicitaire est en cours d’exécution sur Mac. Cependant, lorsque les utilisateurs cliquent sur le bouton Supprimer et lorsqu’ils saisissent un mot de passe sur le Mac, le logiciel malveillant tente de transmettre ces données à un serveur distant. Pour éviter une telle attaque, vous devez vérifier sur le site d’Adobe si une mise à jour de Flash a été publiée.

Mouche des fruits

Le logiciel malveillant est capable de capturer des captures d’écran et des images de webcam ainsi que des informations sur les appareils connectés au réseau.

Pirrit

Le malware, en avril 2016, s’est avéré être caché dans une version fissurée de Microsoft Office d’Adobe Photoshop. Selon le chercheur de Cyberreason, Amit Serper, le malware pourrait obtenir des privilèges root et créer un nouveau compte afin d’installer un nouveau logiciel.

KeRanger

Keranger est un ransomware – un malware de cryptage de fichiers observé pour la première fois ciblant les systèmes d’exploitation Mac en mars 2016. Le malware a été distribué avec une version d’un logiciel nommé Transmission torrent client.

Jin Chen et Claud Xiao de Palo Alto Network expliquent le fonctionnement du KeRanger. Voici ce qu’ils ont dit: «L’application KeRanger a été signée avec un certificat de développement d’application Mac valide; par conséquent, elle a pu contourner la protection Gatekeeper d’Apple. Si un utilisateur installe les applications infectées, un fichier exécutable intégré est exécuté sur le système. KeRanger attend ensuite trois jours avant de se connecter aux serveurs de commande et de contrôle (C2) sur le réseau d’anonymisation Tor. Le logiciel malveillant commence alors à chiffrer certains types de documents et de fichiers de données sur le système. Après avoir terminé le processus de chiffrement, KeRanger demande aux victimes de payer un bitcoin (environ 400 USD) à une adresse spécifique pour récupérer leurs fichiers. De plus, KeRanger semble être encore en développement actif et il semble que le logiciel malveillant tente également de chiffrer les fichiers de sauvegarde Time Machine pour empêcher les victimes de récupérer leurs données de sauvegarde.

« Palo Alto Networks a signalé le problème du ransomware au Transmission Project et à Apple le 4 mars. Apple a depuis révoqué le certificat abusé et mis à jour la signature antivirus XProtect, et Transmission Project a supprimé les programmes d’installation malveillants de son site Web. Palo Alto Networks a également mis à jour Filtrage d’URL et prévention des menaces pour empêcher KeRanger d’avoir un impact sur les systèmes. « 

Safari – obtenir

Malwarebytes a commencé à documenter les attaques par déni de service ciblées sur Mac provenant du site Web de support technique en novembre 2016. Selon les résultats, comme d’autres attaques, cela dépend d’une ingénierie sociale ou d’une erreur de l’utilisateur, comme lorsque les utilisateurs cliquent sur certains liens et le logiciel malveillant. est installé sur l’appareil. Les attaques peuvent être de deux types en fonction de la version de Mac – soit le courrier est détourné et forcé de créer un grand nombre de brouillons de courrier électronique, soit iTunes est obligé de s’ouvrir plusieurs fois. Cependant, l’objectif final est le même: il s’agit de surcharger la mémoire système et de forcer un arrêt ou un gel du système.

 Prenez soin de la vulnérabilité du système

Toutes les vulnérabilités ne sont pas exposées, mais ce sont uniquement ces vulnérabilités sur lesquelles les escrocs comptent pour détourner des Mac. Voici les cas courants où l’exploitation de la vulnérabilité de Mac entraîne une infection par des logiciels malveillants:

Meltdown et Spectre

En janvier 2018, les Mac, iPhones et iPads ont été affectés par des failles dans leurs puces et Apple a souligné que: Ces problèmes s’appliquent à tous les processeurs modernes et affectent presque tous les appareils informatiques et systèmes d’exploitation. « 

Selon Apple, le spectre pourrait être soit «le contournement de la vérification des limites», soit «l’injection de cible de branche» qui rend les éléments de la mémoire du noyau disponibles pour les processus utilisateur.

La société a publié des correctifs pour la faille Meltdown et conseille aux utilisateurs de n’utiliser que des sources officielles pour tout téléchargement de logiciel, afin de se protéger de ces vulnérabilités.

Vulnérabilité au zoom

La vulnérabilité de l’application de visioconférence a été révélée en juin. Ensuite, les appels vidéo des personnes pourraient facilement être ajoutés sans leur permission – la webcam Mac toujours activée.

Cette vulnérabilité zero-day a été découverte à un stade avancé en raison d’un échec à agir dans les 90 jours, elle a été rendue publique. Suite à cette divulgation, Zoom et Apple ont corrigé la vulnérabilité.

Virus de macro Word

Des applications telles que Microsoft Office, Excel et PowerPoint permettaient l’ajout de programmes de macros dans leur document, entraînant l’exécution automatique des macros avec ces documents.

Les versions Mac n’ont eu aucun problème à cela depuis 2008, car Apple a alors supprimé le support des macros. Mais en 2011, cette fonctionnalité a été réintroduite et en février 2017, un malware avec un nom de macro Word a été découvert.

Ce malware exécute un code python pour fonctionner comme un enregistreur de frappe et agit également en tant que capture d’écran. Il pourrait même accéder à la webcam.