Des pirates commencent à exploiter une faille non patchée de macOS

Des chercheurs ont détecté les premiers exemplaires d’un code qui tente de contourner le fonction de protection GateKeeper pour faire installer une application malveillante au travers d’un lien vérolé.
Pixabay

En mai dernier, un chercheur de la société Intego a découvert une faille permettant de contourner la fonction de protection GateKeeper de macOS, qui bloque automatiquement l’installation de logiciels dont l’origine n’a pu être vérifiée. La vulnérabilité s’appuie sur des liens symboliques qui font passer le malware pour une ressource locale, donc automatiquement digne de confiance.

La société Intego vient maintenant de détecter les premiers malwares qui tentent d’exploiter cette faille. Ainsi, elle a trouvé sur le service d’analyse VirusTotal quatre exemplaires similaires d’un code qui utilisent des liens symboliques pointant vers des fichiers intitulés « Adobe Flash Player.dmg ». Apple Disk Image (.dmg) est un format fréquemment utilisé pour distribuer des logiciels macOS.

Sur la piste d’un auteur de logiciels publicitaires

Visiblement, les auteurs voulaient diffuser en douce un logiciel potentiellement malveillant sous les atours d’un logiciel Adobe bien connu. La signature de l’un des exemplaires fait d’ailleurs référence à l’Apple Developer ID d’un développeur qui, par le passé, a déjà créé des centaines de faux fichiers Adobe Flash Player. Ces derniers étaient en réalité… des logiciels publicitaires.

Les applications qui se trouvaient au bout des quatre liens n’étaient plus disponibles au moment où les chercheurs ont commencé leur analyse. Mais une recherche plus poussée sur VirusTotal a permis de voir qu’il n’y avait rien de virulent, mais que du code bouche-trou. Il s’agissait là probablement de versions expérimentales.

En tous les cas, cette découverte montre que les pirates sont sur la brèche et qu’Apple ferait bien de déployer un correctif. En attendant, le géant de Cupertino a au moins désactivé le compte développeur révélé par les chercheurs.

Source : Intego