Des chercheurs viennent de dévoiler des informations sur un nouveau malware qui cible les Mac, qu'ils ont nommés FrigidStealer. Il se fait passer pour une mise à jour de Safari ou de Chrome.
Dans un article, les chercheurs de Proofpoint expliquent que le malware est géré par un groupe qu'ils appellent TA2726, actif depuis septembre 2022 et qui s'occupe de plusieurs logiciels malicieux (Lumma Stealer et DeerStealer sous Windows, Marcher sous Android et donc FrigidStealer sous macOS). Un autre groupe, TA2727, est actif notamment en France et l'utilise aussi. Les deux distribuent le malware sur des sites piratés, avec du code JavaScript qui va détecter le navigateur de l'utilisateur, le rediriger vers un autre site et proposer une mise à jour malicieuse pour le navigateur en question. Le fonctionnement est le même sur les différents systèmes, et il propose donc une mise à jour pour Safari (qui singe le site d'Apple) ou pour Chrome.
Le malware emploie ensuite une technique assez basique : le fichier DMG téléchargé demande à l'utilisateur de faire un clic droit pour lancer l'application sans vérification de la signature (une méthode que macOS Sequoia complexifie), avant d'afficher une fausse fenêtre de demande de mot de passe.
macOS Sequoia complique l'ouverture d'apps non notarisées
Comme souvent, la ruse peut sembler grossière pour les utilisateurs habitués à macOS, mais reste efficace sur des internautes lambda, qui ne connaissent pas les arcanes du système. Proofpoint n'explique pas en détail ce que le malware fait exactement, mais il envoie le mot de passe et diverses informations aux malandrins qui le mettent en place. Dans les faits, la principale méthode pour éviter de se faire arnaquer consiste à ne pas lancer des applications dont la provenance est inconnue, spécialement si l'app demande de passer outre explicitement les protections de macOS. Par ailleurs, Safari et Chrome se mettent à jour automatiquement, sans devoir télécharger manuellement un fichier.
