Un malware conçu pour miner des cryptomonnaies vis actuellement les Mac, et spécialement les ordinateurs avec une puce M conçue par Apple. Pour se protéger du virus, les experts recommandent d’installer la mise à jour Ventura sans tarder.
Les chercheurs en cybersécurité de Jamf Threat Labs ont découvert un logiciel malveillant caché dans le code de certaines copies pirates de Final Cut Prole programme de montage vidéo destiné aux Mac.
Ces versions vérolées ont été mises en ligne par un contributeur sur La baie des pirates, la célèbre plate-forme de téléchargement illégal. L’internaute propose aussi des versions pirates de logiciels phares, comme Adobe Photoshop et Logic Pro.
« Le torrent a été téléchargé par un utilisateur ayant des années de téléchargements de torrents logiciels macOS piratés à son actif »explique Jamf Threat Labs.
XMRig, le malware qui mine des cryptos à votre insu
Baptisé XMRig, le malware vise donc exclusivement les ordinateurs conçus par Apple. Il est conçu pour miner des cryptomonnaies à l’insu du propriétaire d’un MacBook ou d’un iMac. Pour miner des cryptoactifs, XMRig exploite la puissance du processeur et de la carte graphique de la machine. Le procédé appelé, cryptojacking, ralentit signifie les performances de l’ordinateur. Ce type de logiciel peut endommager les composants ainsi que la batterie, dont l’autonomie va fondre à vue d’œil. Dans certains cas, le processus utilise prématurément les composants, rendant l’ordinateur inutilisable. Au détriment de leurs victimes, les pirates génèrent rapidement des revenus en cryptomonnaies.
Pour éviter que les systèmes de sécurité d’Apple ne repèrent la menace, les pirates ont mis au point plusieurs astuces. Par exemple, XMRig est capable de cacher sa présence au moniteur d’activité du système d’exploitation. Si l’utilisateur suspecte quelque chose et jette un œil aux processus en cours d’activités, il ne découvre rien d’anormal. Le maliciel cesse en effet toutes ses activités dès que le moniteur est ouvert.
Dans la même optique, le maliciel est aussi parvenu à Berner Spotlight, le moteur de recherche de fichiers intégrés aux ordinateurs Apple. Le logiciel a défini le nom de certains processus de minage comme des processus de service légitimes liés à la fonctionnalité Spotlight. Là encore, l’utilisateur n’est pas en mesure de repérer les traces d’une activité suspecte, malgré ses soupçons.
À lire aussi : Une fausse application Google mine des cryptomonnaies sur des milliers de PC
Les Mac avec une puce Apple, une cible de choix
D’après les chercheurs, la puissance des puces M, conçu par Apple Silicon sur la base de l’architecture ARM, peint une cible dans le dos des nouveaux Mac. Sans surprise, les pirates souhaitent profiter des performances élevées des ordinateurs pour miner des cryptomonnaies. Dans ce contexte, Jamf Threat Labs s’attend à une augmentation du nombre de virus visant les Mac dans les mois à venir :
« Étant donné que le minage de crypto nécessite une quantité importante de puissance de traitement, il est probable que les progrès continus des processeurs Apple ARM rendront macOS encore plus attrayant pour le cryptojacking ».
Pour se protéger de la menace XMRig, les utilisateurs devaient installer la mise à jour macOS Ventura, déployée l’automne dernier, sur leurs ordinateurs. Comme l’explique Jamf Threat Labs, la mise à jour introduite d’améliorations importantes en matière de sécurité informatique. La nouvelle version de l’OS adoptée par exemple que tous les installés n’ont pas été modifiés par un tiers, lors de chaque lancement du programme.
En clair, le système d’exploitation aurait théoriquement découvert qu’un hacker a modifié le fichier d’installation de Final Cut Pro pour y glisser une charge malveillante à distance, même après un premier lancement. D’après l’enquête menée par Jamf Threat Labs, il n’a d’ailleurs pas été possible d’installer la version pirate sur un MacBook ayant installé Ventura :
« Sur macOS Ventura, la version modifiée de Final Cut Pro n’a pas pu se lancer et nous avons reçu un message d’erreur. C’est parce que le logiciel a laissé une signature d’origine intacte, mais a modifié l’application, invalidant ainsi la signature et enfreignant la politique de sécurité du système ».
La témérité des utilisateurs
Dans un communiqué relayé par nos confrères de 9to5Mac, Apple assure continuer à mettre à jour XProtect, la technologie antivirus intégrée à macOS, pour bloquer les virus comme XMRig. La firme précise que cette famille de maliciels n’est pas capable de réduire Gatekeeper, la fonction qui autorise les applications téléchargées avant de les autoriser à s’exécuter sur la machine.
Malheureusement, il est toujours possible que l’internaute décide d’autoriser manuellement l’installation. Comme l’explique Jamf Threat Labs, « l’utilisateur sait qu’il fait quelque chose d’illégal, et il n’est pas surpris que la sécurité intégrée d’Apple l’empêche d’exécuter des logiciels piratés ». C’est pourquoi de nombreux internautes n’hésitent pas à passer outre Gatekeeper…
Source :
Laboratoires de menaces Jamf
