Des nouvelles préoccupantes au sujet de la sécurité des utilisateurs de Mac, qui doivent être vigilants face à une campagne de malware utilisant de faux annonces pour infiltrer des logiciels malveillants. Ce mécanisme subtil, se faisant passer pour des applications familières, soulève des inquiétudes sur la protection des données personnelles.
Si vous pensiez que les Mac étaient à l’abri de telles menaces, préparez-vous à une mauvaise surprise. Une nouvelle campagne de malware utilise de fausses annonces sur Google et Bing pour propager un logiciel malveillant particulièrement désagréable nommé Atomic Stealer. Les méthodes employées sont assez ingénieuses, car elles imitent des applications bien connues.
Comme le rapportent nos collègues d’Ars Technica, LastPass a identifié une campagne massive recourant à du SEO malveillant pour que ses annonces apparaissent en haut des résultats lorsqu’on cherche son application. Ces annonces redirigent vers des pages GitHub qui semblent tout à fait légitimes, mais au lieu d’installer LastPass, elles installent Atomic Stealer sur votre Mac.
Un large éventail de victimes
Ce qui attire l’attention, c’est le nombre de services victimes de cette usurpation. On ne parle pas seulement de LastPass : les indicateurs de compromission publiés montrent également 1Password, Basecamp, Dropbox, Gemini, Hootsuite et de nombreux autres comme Notion, Obsidian, Robinhood, Salesloft, SentinelOne, Shopify, Thunderbird et TweetDeck. La variété est donc remarquable.
Le procédé est toujours le même : des annonces avec des polices très soignées imitant parfaitement le design officiel de chaque service. Vous cliquez en pensant télécharger l’application dont vous avez besoin et vous vous retrouvez sur une page GitHub apparemment officielle qui distribue le malware déguisé en application originale. C’est un mécanisme particulièrement élaboré.
Cependant, la situation prend une tournure intéressante : lorsque Apple a intégré une détection spécifique pour ce type de menace dans Gatekeeper (son système de protection), les attaquants n’ont pas resté inactifs. Ils ont développé une nouvelle technique qui contourne complètement ces protections, preuve d’une grande astuce.
Cette nouvelle méthode se présente sous la forme d’un CAPTCHA, censé vérifier que vous n’êtes pas un bot. Elle vous demande de copier une chaîne de texte et de la coller dans le Terminal de macOS. Le problème, c’est que cette chaîne n’est pas anodine : elle contient des commandes qui téléchargent et installent le fichier .dmg malveillant, sans que Gatekeeper puisse l’arrêter. Les chercheurs alertent sur cette technique depuis près de deux ans, mais elle semble toujours efficace.
Et il est à noter que Atomic Stealer n’est pas un nouvel arrivant dans le paysage des menaces pour Mac. En effet, nous avons déjà observé des cas antérieurs où des malwares pour macOS se faisaient passer pour une version prétendue de GTA VI afin de dérober des informations d’identification et des mots de passe. Les méthodes changent, mais l’objectif reste constant : obtenir nos données.
Ces menaces sont loin d’être isolées dans l’écosystème Apple. Il y a quelques mois, des vulnérabilités ont été mises en lumière dans des applications Microsoft pour macOS comme Teams et Office, permettant un accès non autorisé aux webcams et microphones. Pour ne rien arranger, un rapport ultérieur a révélé que des milliers d’applications iOS et macOS étaient vulnérables à des attaques par injection de code malveillant.
Le problème avec Atomic Stealer est qu’il reste très efficace malgré tous les avertissements. Des rapports récents documentent son utilisation contre des utilisateurs de Homebrew, un outil pratiquement indispensable pour tout développeur travaillant sur macOS. Sa persistance après tant de temps en dit long sur sa sophistication.
La recommandation, comme souvent, est simple : téléchargez des logiciels uniquement depuis les sites web officiels des développeurs. Si une annonce vous intéresse, ouvrez un nouvel onglet, allez directement sur le site officiel et téléchargez à partir de là. Les liens promotionnels dans les résultats de recherche peuvent vous diriger vers n’importe quel endroit, pas toujours là où vous souhaitez aller.