AccueilActualités informatiqueUn malware complexe pour Mac obtient les droits d'administration en surfant sur...

Un malware complexe pour Mac obtient les droits d’administration en surfant sur Safari

Une entreprise de sécurité a découvert un malware de données qui a apparemment servi à prendre le contrôle des Macs de militants de la liberté à Hong Kong. Le malware, baptisé « DazzleSpy » par ESET, est tout à fait particulier : il serait spécifiquement destiné à macOS, sans modèle Windows comme c’est souvent le cas. Il aurait suffi de surfer sur un site Web préparé avec Safari, le navigateur d’Apple, pour s’emparer de DazzleSpy.

Sommaire

Selon ESET, le malware vient avec des fonctions de spyware. Chaque appareil infecté était soumis à un fingerprinting afin de transmettre aux personnes derrière le piratage des détails sur les activités de l’utilisateur. DazzleSpy était également livré avec un enregistreur de frappe, pouvait prendre des captures d’écran, télécharger et charger des fichiers, exécuter des commandes de terminal et réaliser des enregistrements audio de l’environnement.

On ne sait pas encore qui se cache derrière DazzleSpy, mais ESET suppose qu’il s’agit d’un acteur aux poches profondes – peut-être avec un arrière-plan étatique. Celui-ci serait en mesure de créer des chaînes d’exploitation complexes et de produire un spyware entièrement personnalisé. Les Macs infectés continuaient tout simplement à fonctionner alors que les pirates avaient des droits d’administrateur qu’ils exerçaient via un serveur de commande et de contrôle auquel ils s’adressaient via des connexions cryptées TLS.

Les failles exploitées par DazzleSpy auraient été comblées entre-temps, une équipe de sécurité de Google les avait déjà découvertes en automne. Les pirates utilisaient des erreurs dans le moteur de navigation WebKit d’Apple, qui permettaient d’exécuter du code. L’exploit s’est déroulé en plusieurs étapes et contenait un code JavaScript étendu.

Enfin, un exécutable Mach-O malveillant a été exécuté, ce qui a permis au malware d’obtenir des droits root. Tout compte fait, c’est finalement un parasite de données avec des droits d’administrateur qui atterrit sur le Mac, sans que l’utilisateur ne s’en rende compte. Au total, DazzleSpy aurait disposé d’une suite de 21 commandes différentes qui exposent complètement la machine attaquée.

Plus d'articles