Les logiciels malveillants ciblent les utilisateurs de Mac en utilisant l’outil de sécurité d’Apple

Lucas Morel

Grâce au cryptage de chaîne exclusif d’Apple, le malware a échappé à la détection pendant des mois.

Une variante de l’infostealer Banshee macOS a été vue en train de duper les systèmes de détection avec un nouveau cryptage de chaîne copié à partir de l’algorithme interne d’Apple.

Une étude de Check Point, qui a détecté la variante après deux mois d’évasion réussie, a déclaré que les acteurs malveillants distribuaient Banshee à l’aide de sites Web de phishing et de faux référentiels GitHub, se faisant souvent passer pour des logiciels populaires tels que Google Chrome, Telegram et TradingView.

Ngoc Bui, expert en cybersécurité chez Menlo Security, a déclaré que la nouvelle variante met en évidence une lacune importante dans la sécurité du Mac. « Alors que les entreprises adoptent de plus en plus les écosystèmes Apple, les outils de sécurité n’ont pas suivi le rythme », a-t-il déclaré. « Même les principales solutions EDR ont des limites sur les Mac, laissant les organisations dans des angles morts importants. Nous avons besoin d’une approche de sécurité à plusieurs niveaux, incluant davantage de chasseurs formés sur les environnements Mac.

Le malware est connu pour voler les informations d’identification du navigateur, les portefeuilles de crypto-monnaie et d’autres données sensibles.

Retourner la propre technologie d’Apple contre elle

Les chercheurs de CheckPoint ont découvert la nouvelle variante de Banshee en utilisant un algorithme de chiffrement de chaîne « volée » du moteur XProtect d’Apple, ce qui lui a probablement donné la possibilité d’échapper à la détection pendant plus de deux mois.

Renonçant à l’utilisation de chaînes de texte brut dans la version originale, la nouvelle variante a copié le cryptage de chaîne d’Apple, qui peut être utilisé pour crypter les URL, les commandes et les données sensibles afin qu’elles ne soient pas lisibles ou détectables par les outils d’analyse statique utilisés par les systèmes antivirus. pour rechercher les signatures malveillantes connues.

« À mesure que les attaquants affinent leurs techniques, notamment en exploitant des méthodes de chiffrement inspirées des outils de sécurité natifs, il est évident que les entreprises ne peuvent plus s’appuyer sur les hypothèses traditionnelles en matière de sécurité des plateformes », a déclaré James Scobey, directeur de la sécurité des informations chez Keeper Security. « Les logiciels malveillants sophistiqués comme Banshee Stealer peuvent contourner les défenses traditionnelles, en capitalisant sur les informations d’identification volées et les erreurs des utilisateurs. »

Banshee 2.0

Une autre différence clé que les recherches de Check Point ont remarquée dans la variante est que la version a supprimé la vérification en russe, faisant allusion à un possible nouveau propriétaire et à des opérations étendues.

« Les versions précédentes du malware mettaient fin aux opérations si elles détectaient la langue russe, évitant probablement de cibler des régions spécifiques », ont déclaré les chercheurs dans un article de blog. « La suppression de cette fonctionnalité indique une expansion des cibles potentielles du malware. »

Banshee macOS Stealer a attiré l’attention à la mi-2024, promu comme un « voleur en tant que service » sur des forums comme XSS, Exploit et Telegram. Les acteurs malveillants pourraient l’acheter pour 3 000 $ pour cibler les utilisateurs de macOS.

Cependant, en novembre 2024, les opérations de Banshee ont pris une tournure folle après la fuite de son code source sur les forums XSS, entraînant sa fermeture publique. La fuite a amélioré la détection des antivirus, mais a suscité des inquiétudes quant aux nouvelles variantes développées par d’autres acteurs.