MacOS a été pris pour cible par une nouvelle variante du logiciel malveillant MacSync grâce à une méthode de distribution plus sophistiquée que les techniques habituelles. Une application Swift signée par Apple capable de contourner le mécanisme de sécurité Gatekeeper. Voici ce que l'on sait.

Un malware capable de tromper Gatekeeper

Jusqu'ici, le logiciel malveillant MacSync était distribué par l'intermédiaire de techniques classiques et largement utilisé par les cybercriminels, comme la technique ClickFix. "Contrairement aux variantes précédentes de MacSync Stealer qui reposaient principalement sur des techniques de type « drag-to-terminal » ou « ClickFix », cet échantillon adopte une approche plus trompeuse et plus passive.", peut-on lire dans le rapport des chercheurs en sécurité de Jamf.

Cette fois-ci, l'infection s'effectue par l'intermédiaire d'une image disque nommée zk-call-messenger-installer-3.9.2-lts.dmg , distribuée via le site zkcall[.]net . Ce fichier correspond à un installeur pour une application de messagerie tout à fait banale.

Ce qui rend cette attaque particulièrement dangereuse, c'est sa capacité à contourner les mécanismes de sécurité de macOS. Selon le rapport de Jamf : "Livré sous la forme d'une application Swift signée et notariée [...] elle supprime le besoin de toute interaction directe avec le terminal."

Lorsque les chercheurs en sécurité ont effectué l'analyse du paquet, ils ont découvert que le binaire Mach-O disposait d'une signature valide associée à un développeur avec l'ID GNJLS3UYZ4. C'est un détail très important, car cela signifie qu'aux yeux de macOS et de son système de protection Gatekeeper, l'application était "sûre".

Source : Jamf

MacSync : plusieurs mécanismes d'évasion

Sur une machine infectée, l'objectif de MacSync est de voler des données sur le Mac, car c'est un malware de type infostealer. Il est conçu pour exfiltrer de nombreuses informations :

Divers fichiers présents sur le système de fichiers.

Les identifiants du trousseau iCloud (Keychain).

Les mots de passe stockés dans les navigateurs web.

Les métadonnées du système.

Les données des portefeuilles de crypto-monnaies.

Une fois exécuté sur un Mac, le malware MacSync tente de rester furtif et de compliquer l'analyse par les chercheurs en sécurité. Il intègre plusieurs mécanismes d'évasion :

Inflation volontaire du fichier : l'image DMG est gonflée volontairement par les pirates à 25,5 Mo par l'ajout de fichiers PDF leurres, une technique visant à perturber les outils d'analyse automatisés.

l'image DMG est gonflée volontairement par les pirates à 25,5 Mo par l'ajout de fichiers PDF leurres, une technique visant à perturber les outils d'analyse automatisés. Nettoyage des traces : les scripts utilisés dans la chaîne d'exécution sont systématiquement effacés.

les scripts utilisés dans la chaîne d'exécution sont systématiquement effacés. Analyse de l'environnement : le malware effectue des vérifications pour voir si la machine a accès à Internet avant de s'exécuter, afin d'éviter de se déclencher dans des environnements isolés (sandbox) utilisés par les analystes.

Toutes ces améliorations et cette évolution globale de MacSync montrent que les pirates font les efforts nécessaires pour que ce malware reste efficace sur macOS.

Enfin, il est à noter que suite au signalement des chercheurs, Apple a depuis révoqué le certificat utilisé par cette application malveillante. Cela veut donc dire que Gatekeeper ne se fait plus berner par cette application.

