Une importante campagne de logiciels malveillants semble viser les développeurs Mac : Des outils courants, tels que les émulations de terminal iTerm 2 et SecureCRT, NaviCat 15, SnailSVN et la version macOS du client de bureau à distance de Microsoft, sont distribués sous forme de versions répliquées avec des « installateurs empoisonnés » et des « images de disque infectées », comme le signalent des chercheurs en sécurité.
Sommaire
Un lien sponsorisé mène à une fausse application
Pour l’instant, les développeurs chinois sont apparemment les principales cibles : une fausse version de l’émulateur de terminal macOS iTerm2, par exemple, a été temporairement livrée en première position sur le moteur de recherche Baidu sous la forme d’un lien sponsorisé. L’URL menait apparemment à une réplique du site web original, qui proposait à son tour le téléchargement de la version manipulée d’iTerm.
Le clone est en grande partie « bénin » et présente un « shell iTerm légitime » pour donner aux utilisateurs un sentiment de sécurité, explique le chercheur en sécurité Patrick Wardle, qui a analysé l’application et fourni un échantillon du malware appelé « OSX.ZuRu » à des fins de test. Les moteurs antivirus n’ont pas encore réagi aux échantillons de son analyse.
Un logiciel malveillant extrait des fichiers importants
Le logiciel malveillant caché dans l’application contacte plusieurs serveurs et télécharge des logiciels. Selon l’analyse, il tente d’inspecter le Mac infecté de manière exhaustive à l’aide, entre autres, d’un script Python. Pour ce faire, il collecte et extrait autant de données que possible, y compris le trousseau de clés de l’utilisateur avec toutes les données d’accès qui y sont stockées, l’historique bash, les hôtes et plus encore, écrit Wardle.
Le moteur de recherche Baidu a depuis supprimé les liens sponsorisés. Apple a également retiré le certificat de développeur avec lequel la fausse version d’iTerm2 était signée. Le logiciel malveillant n’était pas notarié, note Wardle. On ne sait pas encore si les autres faux outils Mac mentionnés étaient également signés. Il s’agissait d’une attaque massive de la chaîne d’approvisionnement contre les utilisateurs de macOS, note le chercheur en sécurité Zhi.
(lbe)