Apple a accidentellement autorisé le malware OSX.Shlayer

Apple a accidentellement approuvé l’une des menaces de logiciels malveillants Mac les plus populaires, OSX.Shlayer, dans le cadre de son processus de notarisation de la sécurité.

Le service de notaire Apple est un système automatisé sur les versions récentes de macOS qui analyse les logiciels (allant des applications macOS, extensions de noyau, images de disque et packages d’installation) à la recherche de contenus malveillants et vérifie les problèmes de signature de code. Ensuite, lorsqu’un utilisateur de macOS installe le logiciel, la fonction de sécurité Gatekeeper d’Apple lui indique si du code malveillant a été détecté avant de l’ouvrir.

Les chercheurs en sécurité Peter Dantini et Patrick Wardle ont récemment découvert qu’Apple avait par inadvertance notarié des charges utiles malveillantes qui avaient été utilisées dans une récente campagne de logiciels publicitaires.

«Malheureusement, un système qui promet la confiance mais qui peut finalement mettre les utilisateurs plus en danger», a déclaré Wardle dans une analyse. ” Si les utilisateurs de Mac adhèrent aux affirmations d’Apple, ils feront probablement pleinement confiance à tous les logiciels notariés. Ceci est extrêmement problématique car les logiciels malveillants connus (tels que OSX.Shlayer) sont déjà (trivialement?) en train d’acquérir une telle notarisation. »

Dantini a remarqué qu’un site Web (homebrew[.]sh) hébergeait activement une campagne publicitaire. Le site Web se fait probablement passé pour le site légitime Homebrew (hébergé sur brew.sh), un système de gestion de progiciels gratuit et open source qui simplifie l’installation de logiciels sur macOS.

Lorsque les utilisateurs ont visité le site Web, il les a redirigé plusieurs fois avant de leur dire que leur Adobe Flash Player est obsolète et de recommander une mise à jour (via au moins trois fenêtres contextuelles distinctes dans le navigateur). Bien que la campagne semble être une attaque de logiciel publicitaire assez banale, ce qui est différent, c’est que les exigences de notarisation d’Apple ne déclenchent pas de notification d’avertissement indiquant à l’utilisateur que le développeur ne peut pas être vérifié et qu’on ne sait pas si l’application contient des logiciels malveillants.

Les charges utiles des logiciels publicitaires ont été entièrement notariées dans cette campagne, ce qui signifie que les charges utiles malveillantes ont été soumises à Apple avant leur distribution. Ils ont été scannés par le géant du mobile et aucun code malveillant n’a été détecté via le système automatisé d’Apple.

notarisation

Après une inspection plus approfondie, Wardle a découvert que les charges utiles notariées semblent être le logiciel malveillant OSX.Shlayer.

Après avoir exécuté les charges utiles dans des machines virtuelles, Wardle a pu découvrir l’exécution de diverses commandes shell. Ces commandes changent les fichiers, exécutent et suppriment des fichiers, etc.

Shlayer est une menace courante pour les Mac. En effet, l’année dernière, il représentait 29% de toutes les attaques sur les appareils macOS dans la télémétrie de Kaspersky pour l’année 2019, ce qui en fait la première menace de logiciels malveillants Mac pour l’année. Plus récemment, une nouvelle variante du malware a été repérée, cette dernière utilise des résultats de recherche Google empoisonnés afin de trouver ses victimes.

Réaction d’Apple

Après que les charges utiles malveillantes aient été repérées, Wardle a informé Apple, qui a révoqué leurs certificats le 28 août. Puis, le 30 août, la campagne de logiciels publicitaires était toujours en cours et distribuait de nouvelles charges utiles notariées.

apple

«Les anciennes et les ‘nouvelles’ charges utiles semblent être presque identiques, elles incluent le malware OSX.Shlayer emballé avec l’adware Bundlore», a déclaré Wardle. «Cependant, la capacité des attaquants à poursuivre agilement leur attaque (avec d’autres charges utiles notariées) est remarquable. De toute évidence, dans le jeu interminable du chat et de la souris entre les pirates informatiques et Apple, les pirates sont actuellement (toujours) en train de gagner. »

Le but du logiciel publicitaire Bundlore est généralement d’installer diverses extensions de navigateur et de montrer aux victimes diverses publicités, a déclaré Wardle. Le 31, ces nouvelles charges utiles notariées ont également été révoquées par Apple.

“Les logiciels malveillants changent constamment et le système de notarisation d’Apple nous aide à empêcher les logiciels malveillants d’entrer sur le Mac et nous permet de réagir rapidement lorsqu’ils sont découverts”, a déclaré un porte-parole d’Apple. «Après avoir pris connaissance de ce logiciel publicitaire, nous avons révoqué la variante identifiée, désactivé le compte développeur et révoqué les certificats associés. Nous remercions les chercheurs qui nous aide à assurer la sécurité de nos utilisateurs. »

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x