Les utilisateurs de Mac ciblés par un malware se servant d’une image publicitaire

La plupart des gens pensent qu’il n’y a que peu voire pas  de malwares ciblant Mac dans le monde civilisé. Malheureusement, cette impression ressemble beaucoup à un vœu pieux.

Et bien, les choses ont pris une forme différente en 2018, et les attaques menées par des groupes APT et ciblant la plateforme macOS ont augmenté. On a aussi pu constater que les criminels essayaient d’exploiter le minage de cryptomonnaies et de cibler ceux qui s’en servent.

Même les analystes qui travaillent sur les malwares et particulièrement sur ceux visant les Mac ont reçu énormément d’échantillons chaque jour, mais chaque nouveau malware ne fait pas l’objet d’un article dédié à chaque fois.

Nous venons de prendre connaissance d’un article rédigé par Lindsey O’Donnell pour  ThreatPost – « Les logiciels malveillants dans les images basées sur des annonces ciblent les utilisateurs Mac ». On y lit que les chercheurs ont détecté 191 970 publicités malveillantes et estime qu’environ 1 million d’utilisateurs Mac utilisateurs ont été touchés.

Les chercheurs déclarent que les attaques ont eu lieu le 11 janvier, répandant de la stéganographie en utilisant des publicités sur le web. C’est une pratique qui consiste à dissimilaire des messages secrets, du code dans des images ou du texte qui semble innocent. La tactique a été utilisée toute l’année dernière, et cela dans des images ajoutées à des sites considérés comme de confiance et même dans des memes sur Twitter.

Un utilisateur Mac tombe sur une annonce contenant une image, mais en réalité, un programme malveillant JavaScript se cache dans le code du fichier image de l’annonce. Lorsque l’utilisateur clique sur la publicité malveillante, il infecte l’appareil Mac avec le cheval de Troie Shlayer, déguisé en mise à niveau de Flash Player et redirige la victime vers un programme d’installation de logiciel publicitaire.

Jérôme Segura, chef du département Threat Intelligence chez Malwarebytes déclare «  le malware agit à la fois comme un cheval de Troie et comme un injecteur de charges supplémentaires, en général des adwares. En conséquence, les utilisateurs peuvent remarquer que leur machine tourne plus lentement que d’habitude et peut être abusé en achetant des applications dont il n’a pas besoin. »

Comme dit précédemment, 191 970 publicités malveillantes ont été détectées jusqu’à présent, et c’est environ 1 million d’utilisateurs estimés qui ont été impactés.

« Les attaquants, au vu des faits, sont actifs depuis des mois, mais n’ont que récemment utilisé la stéganographie pour faire passer le malware via le code d’une image », ont déclaré les chercheurs ce mercredi dans un post décrivant cette campagne de piratage.

Les tendances 2019 pour les antivirus et la cyber-sécurité

Comme toujours, la nouvelle année amène son lot de nouvelles menaces pour la cyber-sécurité. Voici les nouvelles tendances à connaitre pour l’année 2019.

1. Les cyber-attaques sponsorisées par des gouvernements vont aller en grandissant

Les systèmes connectés à Internet sont désormais vitaux pour les économies nationales, en faisant des cibles évidentes lors de conflits. Les évènements en Ukraine ont vu une escalade des cyber-attaques lancées par les deux partis opposés. On doit s’attendre à voir plus de ce genre de faits dans les mois à venir.

2. L’authentification à facteurs multiples va être de plus en plus adoptée

Aussi connue comme l’Authentification Forte du Client (SCA) et Authentification à Deux Facteurs (2FA), cette technique de sécurité renforce la sécurité des comptes. En plus de l’habituel nom d’utilisateur et du mot de passe, vous aurez besoin d’entrer une autre forme d’authentification, comme votre empreinte digitale ou un code unique envoyé sur votre téléphone pour pouvoir vous connecter à des sites web et autres services.

3. Les malwares vont gagner en sophistication

Les hackers retravaillent constamment les outils malwares pour les rendre plus efficaces. L’utilisation des menaces persistantes avancées (APT) va aussi augmenter car les criminels investissent beaucoup de temps et d’effort pour récupérer de plus gros bénéfices.

4. Les cyber-attaques vont cibler des gens, pas des réseaux

L’humain est le maillon faible de chaque système de sécurité. L’efficacité des antimalwares augmentant aussi, les hackers vont concentrer leurs efforts en « attaquant » les gens. Cette année, on verra beaucoup d’emails de phishing et de faux sites web conçus pour vous tromper en partageant vos données sensibles comme les mots de passe et les numéros de cartes de crédit.

5. Les appareils connectés seront plus utilisés dans les attaques

Les appareils connectés à Internet comme les hauts parleurs intelligents et les appareils de domotique offrent aux hackers de nouvelles manières de pénétrer votre réseau local. Les cyber-criminels vont commencer à cibler ces appareils ainsi que votre ordinateur pour voler des données personnelles.

6. Les attaques DDoS vont continuer

Les attaques de dénis de service ne sont pas particulièrement intelligentes mais elles restent relativement concluantes. Surcharger un site web non protégé avec un excès de trafic va l’amener à planter,  les hackers vont donc continuer à utiliser cette technique, en concevant des botnets depuis des ordinateurs comme le votre pour attaquer en masse.

7. Les hackers vont détourner les ressources de votre ordinateur pour miner de la cryptomonnaie

Les cryptomonnaies comme le Bitcoin continuent à avoir du succès, notamment parce n’importe qui peut « faire » de l’argent par lui-même. Avec le bon malware, les hackers prennent le contrôle de votre ordinateur et l’utilise pour « miner » de la monnaie et vous empêche donc d’utiliser son plein potentiel. Comme il y a potentiellement beaucoup d’argent à se faire, ces attaques vont devenir de plus en plus communes.

8. Les malwares vont devenir plus sournois

Puisque les hackers peuvent utiliser les ordinateurs compromis pour une large gamme d’activités (miner de la cryptomonnaie, des botnets pour du DDoS, du vol d’informations, etc.), ils vont souvent avoir accès aux machines. Pour rester furtifs, les malwares vont devoir devenir meilleurs pour se cacher. Durant l’année, on verra de nouvelles variantes malwares qui seront encore plus dures à détecter – ce qui devrait causer pas mal de dommages pendant un certain temps.

9. Le Machine Learning sera vital pour bloquer les nouvelles menaces

Les nouvelles menaces malwares sont développées à un rythme impressionnant, souvent trop rapidement pour que les chercheurs en sécurité traditionnels puissent tenir la cadence. Le Machine Learning, comme utilisé pour la suite de sécurité de Panda Dome, surveille l’activité de l’ordinateur pour automatiquement détecter et verrouiller les processus suspects – même avant qu’un virus ait été officiellement identifié. Cette protection proactive sera vitale pour combattre les cyber-criminels- particulièrement contre ceux qui utilisent des malwares qui se dissimulent eux-mêmes.

10. Les ordinateurs avec d’anciennes versions de Windows vont devenir de plus en plus dangereux

Le support officiel pour Windows XP et Vista de Microsoft s’est arrêté il y a plusieurs années- mais beaucoup de personnes s’en servent toujours. Microsoft ne sort plus de mises à jour ou des correctifs de sécurité pour ces systèmes- rendant chaque PC utilisant encore ces versions beaucoup plus exposés aux hackers. Comme la base utilisateur reste très importante dans le monde entier, les hackers vont continuer à les cibler.

Protégez-vous dès maintenant

Bien que ces éléments soient inquiétants, la bonne nouvelle est que la majorité de ces menaces peuvent être prévenues en installant un produit antimalware proactif et solide sur votre ordinateur personnel et sur vos appareils mobiles.

Pourquoi vous n’avez (probablement) pas envie d’un routeur 5G

Le CES n’est pas encore terminé et D-Link a déjà annoncé un nouveau routeur 5G. Mais si la 5G peut paraitre super, vous n’en avez sans doute pas encore dans votre zone pour l’instant. N’envisagez donc pas de vous jeter dès à présent sur ce routeur.

Un modem et un routeur 5G

Le 5G NR Enhanced Gateway (c’est bien son nom) de D-Link est un modem cellulaire qui peut fournir du Wifi. Ce n’est pas un routeur Wifi standard. Il faut le voir comme un hotspot mobile plus puissant mais qui n’est pas mobile. Vous le reliez à un fournisseur d’accès (comme Verizon ou AT&T s’ils le permettent) et il diffuse alors Internet à travers votre maison.

Vous ne pouvez l’utiliser que si l’Internet en 5G est disponible dans votre région.

Le nom pour les protocoles cellulaires et le Wifi sont similaires et amènent à des confusions. La Wifi Alliance essaie de résoudre cela en mettant en place un schéma de noms simplifiés, mais si cela peut vous aider à savoir quel protocole Wifi est le meilleur, cela n’aidera à maintenir une vraie différence entre le Wifi 5 et la 5G.

Ce n’est pas un simple routeur Wifi 5 GHz

Avec un nom si proche, il est facile de se tromper. La 5G est un service cellulaire comme votre smartphone en utilise. Et le 5 GHz fait référence au spectre sans filtre que votre routeur Wifi peut utiliser. Vous ne pouvez pas prendre votre routeur Wifi déjà existant et le connecter à un service cellulaire 5G. Et vous ne pouvez pas prendre cet appareil et le connecter à votre fournisseur d’internet du domicile pour amener du Wifi dans toute la maison. Vous avez besoin du service 5G dans votre région pour tirer bénéfice de cet appareil.

La 5G n’est probablement pas encore disponible pour vous

Lorsque le service 5G est disponible, cela peut être vraiment super. La limite théorique est de 10Gbps. Actuellement, la plupart des FOIS et certains fournisseurs du câble atteignent un maximum de 1Gbps. C’est un véritable bond en avant en matière de vitesse. De plus, les opérateurs peuvent potentiellement déployer la 5G dans des zones rurales où il est trop coûteux de se servir de lignes de câbles FIOS ou d’en utiliser de meilleur qualité.

Grâce à l’utilisation de petits appareils cellulaires, il est possible que la 5G devienne omniprésente dans les zones où l’Internet à haut débit était jusqu’ici complètement inconnu. Un jour, mais dans des années.  C’est un point abordé dans le communiqué de presse de D-Link pour la sortie de son routeur :

« Avec un spectre étendu et de nouvelles applications, la 5G amènera plus de compétitivité sur le marché du haut débit dans les années à venir … »

Si vous avez dans l’idée d’acheter un modem 5G aujourd’hui, il y a de fortes chances pour qu’il ne vous serve pas à grand-chose.

Le service 5G sera sans doute servi avec un routeur

Ne vous échinez à chercher ce nouvel appareil car actuellement, il n’est pas sûr que D-Link le vendra directement aux consommateurs. Et même si c’est le cas, cela ne veut pas dire que votre fournisseur d’accès vous permettra de vous en servir. Actuellement, Verizon propose un routeur 5G Samsung pour quiconque bénéficie de ce service. Et puisque c’est un service cellulaire et non pas un simple Wifi, les opérateurs auront le contrôle sur ce que les appareils peuvent connecter.

Un modem 5G comme celui là peut trouver son utilité. Si votre région dispose de la 5G, cela vous permettra de vous y connecter et de diffuser Internet à d’autres appareils qui ne dispose d’aucune radio cellulaire (comme votre ordinateur portable). Ils bénéficieront de la grande vitesse et vous n’aurez pas à ajouter un nouvel ordinateur ou un modem additionnel.

L’achat d’un tel appareil peut aussi être bénéfique au vu des possibilités de maillage promises. Mais si vous disposez déjà d’un maillage, ou si vous ne voulez pas acheté les appareils maillés de D-Link, cet appareil ne vous servira pas car actuellement des appareils maillés de fabricants différents ne communiquent pas entre eux. La Wifi Alliance a sorti un standard de maillage dans ce sens mais la plupart des fabricants de routeurs ne l’ont pas encore implanté et D-Link n’a fait aucune promesse en ce sens.

Les nouvelles technologies sont souvent excitantes. Et la promesse de grandes vitesses, particulièrement dans les zones rurales, retient l’attention du public. Mais comme presque toutes les nouvelles technologies, il vaut mieux rester en retrait et observer la mise en service concrète de ces nouveaux matériels.

Comment la simple visite d’un site dans Safari peut avoir compromis votre macOS d’Apple

Plus tôt cette semaine, une équipe de chez Dropbox a révélé des détails sur trois vulnérabilités critiques touchant le système d’exploitation macOS d’Apple, qui ensemble pourraient permettre à un attaquant à distance d’exécuter du code malveillant sur un ordinateur Mac ciblé, simplement en convaincant la victime d’aller faire un tour sur une page web compromise.

Ces vulnérabilités ont été d’abord découvertes par Syndis, une entreprise de cyber sécurité engagée par Dropbox pour conduire des attaques simulées pour tester le niveau de pénétration de l’infrastructure informatique de l’entreprise, et notamment sur le logiciel Apple utilisé par Dropbox.

Les vulnérabilités ont été découvertes et transmises à l’équipe de sécurité d’Apple en février de cette année, et ont été alors patchées par Apple juste un mois après avec la sortie de ses mises à jour de sécurité du mois de mars. Dropbox a félicité Apple pour sa réponse rapide face à son rapport de bug.

Selon Dropbox, les vulnérabilités découvertes par Syndis n’affectaient pas que la flotte sous macOS, mais aussi tous les utilisateurs de Safari usant de la dernière version du navigateur et du système d’exploitation en même temps.

Voici la liste des trois vulnérabilités rapportées (à zéro jour à ce moment là) :

1. La première faille (CVE-2017-13890) qui résidait dans le composant CoreTypes de macOS autorisait le navigateur web Safari à automatiquement télécharger et installer une image disque sur le système du visiteur via une page malveillante emballée.
2. La deuxième faille (CVE-2018-4176) résidait dans la manière dont les Images Disque géraient les fichiers .bundle, des applications conditionnées comme des répertoires. L’exploitation de cette faille aurait pu permettre à un attaquant de lancer une application malveillante depuis un disque installé en utilisant une utilitaire de volume démarrable appelé bless et son ouverture de dossier.
3. La troisième vulnérabilité (CVE-2018-4175) impliquait un court-circuitage de l’antimalware Gatekeeper de macOS, permettant à des applications malveillantes dissimulées de passer outre
l’application de la signature de code et exécuter une version modifiée de l’application Terminal permettant l’exécution de commandes arbitraires.

Comme on peut le voir dans la vidéo de la preuve-de-concept, les chercheurs ont été capable de créer une attaque en deux étapes en reliant ensemble les trois vulnérabilités pour prendre le contrôle d’un ordinateur Mac juste en arrivant à convaincre à la victime de visiter une page web malveillante depuis Safari.

« La première étape inclut une version modifiée de l’application Terminal, qui est enregistré en tant que gestionnaire pour une nouvelle extension de fichier (.workingpoc). En outre, il contiendra un dossier vide appelé « test.bundle » qui sera défini comme « dossier ouvert » par défaut et qui ouvrira automatiquement /Applications/Terminal.app sans invite « , précise Dropbox dans un post de blog.

« La deuxième étape inclut un shellscript non signé portant l’extension « .workingpoc », qui est ensuite exécuté dans l’application Terminal en cours d’exécution sans invite. « 

Le 29 mars, Apple a sorti des mises à jour de sécurité, dont les correctifs de ces trois vulnérabilités. Vous avez donc simplement à vous assurer d’installer régulièrement les mises à jour mensuelles pour être sûrs de vous protéger de ce genre de menaces.