En avril dernier, un nouveau malware visant macOS a fait son apparition. Baptisé Atomic Stealer, ce virus a été repéré par les chercheurs de Cyble Research sur des groupes Telegram privés. Le logiciel malveillant était proposé dans le cadre d’un abonnement, tarifé 1000 dollars par mois, à des cybercriminels en herbe. Il s’inscrit dans la grande tendance des Malware-as-a-Service (MaaS).
Une fois déployé sur un ordinateur, Atomic Stealer est capable de voler des informations sensibles, comme des noms d’utilisateurs, des mots de passe et des clés privées qui donnent accès à un wallet contenant des cryptomonnaies. Plus globalement, il est capable de siphonner tous les fichiers stockés sur le Mac.
À lire aussi : Un nouveau malware s’attaque à votre Mac, il risque de faire des dégâts
Une campagne de pub malveillante sur Google
Quelques mois après sa première apparition, Atomic Stealer a été épinglé par les chercheurs de MalwareBytes. Le virus a été identifié dans une vaste de campagne de « malvertising ». Comme son nom l’indique, ce type de campagnes consiste à cacher des programmes malveillants dans des annonces publicitaires.
Pour propager leur maliciel, les cybercriminels ont mis au point une version factice du site de TradingView, une plateforme populaire qui permet de surveiller les marchés financiers. Après avoir développé cette copie, les pirates ont déployé des publicités dans les résultats de recherche Google. Pour échapper à la vigilance de Google, les attaquants ont apparemment pris le contrôle d’un compte publicitaire légitime. Lorsqu’un internaute tapait TradingView dans la barre de recherche, une publicité apparaissait en tête des résultats. Elle le relayait immédiatement sur la copie du site web.
« Les publicités malveillantes couplées à des pages d’hameçonnage d’apparence professionnelle sont un combo puissant qui peut tromper à peu près n’importe qui », détaille MalwareBytes.
Contourner Gatekeeper, l’impératif des malwares
Une fois arrivé sur le site, l’internaute sera invité à installer l’application TradingView sur son ordinateur. La plateforme propose une version macOS, Linux ou Windows. Fort logiquement, les utilisateurs macOS vont opter pour la version Mac. Un fichier, intitulé TradingView.dmg, va alors être téléchargé. Celui-ci contient des instructions destinées à l’utilisateur, qui vont permettre au virus de contourner Gatekeeper, la fonction qui vérifie les applications téléchargées avant de les autoriser à s’exécuter sur la machine.
C’est là que les pirates arrivent à leurs fins et qu’Atomic Stealer va siphonner toutes les données stockées sur l’ordinateur. Ces informations vont rapidement être exfiltrées sur des serveurs à distance. Les données peuvent ensuite être revendues sur des marchés noirs, du dark web notamment, ou exploitées pour mener des attaques.
Les chercheurs recommandent de rester prudent et vigilant lorsque vous téléchargez une application macOS en dehors de l’App Store. Avant d’autoriser l’app à contourner Gatekeeper, il est recommandé de « revenir en arrière et de revisiter directement le site officiel, ou au moins passer un peu de temps à vérifier que le site Web actuel est vraiment le bon ». Surtout, méfiez-vous systématiquement si une application vous demande de contourner les protections GateKeeper. Enfin, n’hésitez pas à installer un antivirus sur votre Mac.
Ce n’est pas la première fois qu’une publicité affichée sur Google cache des programmes malveillants. Début d’année, un détenteur de NFT a d’ailleurs tout perdu à cause d’une annonce publicitaire renfermant un malware.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : MalwareBytes