macOS : attention, ces deux applications populaires peuvent camoufler des virus

L’univers de macOS est habituellement assez sécurisé, même s’il n’est pas un sanctuaire complètement imprenable. Quelques exceptions existent, comme ce virus détecté fin 2023 par les équipes de Moonlock Lab, ou celui-ci, créé par le groupe nord-coréen Lazarus.

Une nouvelle campagne d’infiltration, nord-coréenne elle aussi, a été repérée : elle cible spécifiquement les usagers utilisant des applications de visioconférence largement adoptées. Ces outils, en apparence anodins, dissimulent un programme malveillant capable de contourner les défenses érigées par Apple lorsqu’ils sont détournés.

VCam et CameraAccess infiltrés par un malware

Les experts en cybersécurité de SentinelLabs ont dévoilé comment deux applications populaires, VCam et CameraAccess, servent désormais de vecteurs à un programme malveillant baptisé « FlexibleFerret ». Ces deux applications, initialement conçues pour améliorer l’expérience des visioconférences, sont détournées dans le cadre d’une opération baptisée « Contagious Interview ». Un patronyme cynique pour un mode opératoire, comme vous allez le voir, simple et efficace.

Pour infecter un ordinateur, les pirates, se faisant passer pour des recruteurs, feintent une panne technique durant un entretien d’embauche virtuel. Pour résoudre ce prétendu problème technique, ils incitent leurs victimes à installer ces applications compromises.

Le fichier qu’ils proposent, baptisé versus.pkg opère comme un conteneur, dissimulant trois composants critiques interconnectés. Le premier, InstallerAlert.app, se présente comme une interface d’installation légitime pour gagner la confiance de l’utilisateur. Le deuxième, versus.app, constitue le moteur principal du malware, tandis que le troisième élément se camoufle habilement en empruntant l’identité de l’application Zoom.

Après l’installation, le logiciel malveillant déploie un agent de lancement (Launch Agent) qui s’intègre ensuite profondément dans l’architecture de macOS. Cet agent, conçu pour survivre aux redémarrages du système, établit un canal de communication chiffré via l’infrastructure Dropbox.

Ce choix d’utiliser Dropbox comme vecteur de commande et de contrôle n’est pas hasardeux : il permet au trafic malveillant de se fondre dans les communications légitimes, contournant ainsi la plupart des systèmes de détection réseau.

La réponse d’Apple face à cette nouvelle génération de menaces

Pour endiguer le phénomène d’infection, Apple a lancé une mise à jour de son système de protection XProtect. Cette actualisation cible spécifiquement plusieurs composants du malware, notamment ceux se camouflant en fichiers système macOS comme com.apple.secd. Toutefois, certaines variantes de FlexibleFerret parviennentmalheureusement à déjouer cette protection.

On soupçonne cette campagne de disposer de moyens financiers solides, probablement soutenus par une puissance étatique. Les attaquants exploitent non seulement les applications citées précédemment, mais emploient aussi de fausses mises à jour de Google Chrome.

Si les mécanismes de sécurité natifs d’Apple constituent un premier rempart efficace, le recours à des solutions de sécurité tierces reste une solution à envisager. Des programmes comme Malwarebytes, Sophos Home ou CleanMyMac X peuvent vous aider à détecter ces menaces et à les bloquer.

Quelques conseils basiques : si une offre d’emploi ou une proposition vous semble trop belle pour être vraie, soyez extrêmement prudent, les pirates utilisent souvent des leurres alléchants pour vous piéger. Vérifiez toujours l’identité de l’entreprise ou de la personne qui vous contacte en recherchant sur Internet pour vous assurer de leur légitimité. Enfin, n’installez jamais de logiciels provenant de sources inconnues ou non fiables, même si cela vous est demandé par un recruteur.

• Une nouvelle cyberattaque nord-coréenne vise les utilisateurs Mac en cachant un logiciel espion dans des applications de visioconférence.
• Les pirates piègent leurs victimes en simulant des pannes techniques lors d’entretiens d’embauche et les incitent à installer un fichier infecté.
• Apple a renforcé ses protections, mais certaines variantes du malware échappent encore aux défenses.