Les utilisateurs reçoivent de fausses alertes affirmant que leur système est verrouillé en raison d’une activité inhabituelle et est invité à saisir les ID et les mots de passe Apple pour le déverrouiller.
Une nouvelle campagne de phishing ciblant les systèmes MAC utilise des tactiques Scareware pour voler les ID Apple et les mots de passe aux utilisateurs sans méfiance.
Identifié par Layerx Labs, l’attaque implique des sites Web compromis affichant de faux avertissements de sécurité affirmant que l’ordinateur de l’utilisateur a été «compromis» et «verrouillé» et incitant les utilisateurs à saisir le nom d’utilisateur et le mot de passe.
« Avertissement de sécurité Apple. MacOS a été verrouillé en raison d’une activité inhabituelle, essayez de signer à nouveau avec votre Apple_id et votre mot de passe », indique le message d’affichage avec une invite pour entrer les informations d’identification du compte Apple.
La campagne redirige les victimes vers les pages de phishing – avec les pages de «parking» compromises par le Code Scareware – VIA malveillant, a déclaré Layerx dans un article de blog.
Utilisation de Scareware
Les captures d’écran partagées par LayerX ont révélé l’utilisation de «Scareware» dans la campagne. Scareware fait référence à un logiciel malveillant provoquant une alerte pop-up ou un faux antivirus avertissant que le dispositif d’un utilisateur est infecté par un virus ou que sa sécurité est compromise et qu’il doit effectuer une action pour résoudre le problème.
Dans ce cas, le Scareware est déployé sur les sites de phishing contrôlés par l’acteur auxquels les victimes sont prises. Lors de la visite du site Web, les utilisateurs obtiennent une fausse alerte pop-up «Avertissement de sécurité Apple», les incitant à entrer leur identifiant Apple et leur mot de passe. Simultanément, la page Web du site gèle, créant une illusion que l’ensemble de l’ordinateur est verrouillé.
La recherche de Layerx a souligné que la campagne est particulièrement difficile à arrêter en raison de divers facteurs, notamment d’être hébergé sur une plate-forme Microsoft, d’ajouter de la crédibilité, d’utiliser un service d’hébergement légitime et de confiance, et d’utiliser des sous-domaines randomisés et changeants.
Ces popups aléatoires disant que «votre ordinateur est compromis» doit toujours être traité avec suspicion, car les services antivirus ne vous demanderont jamais de saisir un nom d’utilisateur et un mot de passe pour supprimer une menace, a ajouté Richard.
La campagne ciblait précédemment les utilisateurs de Windows
Selon les chercheurs de couchex, la campagne n’a été vue ciblant les utilisateurs de Mac qu’au cours des derniers mois. Initialement, il a ciblé les utilisateurs de Windows en se faisant passer pour des alertes de sécurité Microsoft.
Conçus pour voler des informations d’identification des utilisateurs, les acteurs de la menace ont apparemment déplacé l’attention vers les utilisateurs de Mac en raison de nouvelles fonctionnalités de sécurité déployées par Microsoft, Chrome et Firefox, ont ajouté des chercheurs.
Cette campagne montre à quelle vitesse les attaquants s’adaptent, tirant parti de l’infrastructure de confiance et de la tromperie sophistiquée pour contourner les mesures de sécurité traditionnelles, a ajouté Guccione. Les chercheurs ont noté que les nouvelles attaques ciblées MAC ne nécessitaient que des ajustements mineurs à l’infrastructure existante des pirates, impliquant principalement des modifications de texte et de légères modifications de code aux utilisateurs de macOS cibles et de safari.
