Intego, par l’intermédiaire d’un billet de blog, annonce l’arrivée d’un nuisible dont on se serait bien passé : HZ RAT. Ciblant dans un premier temps les ordinateurs sous Windows, il semble que le rongeur ait été adapté pour macOS.
HZ RAT, pour Remote Access Trojan (Cheval de Troie à accès distant), a été aperçu pour la première fois sur les PC courant 2022, et est conçu pour permettre à son malfaisant propriétaire de prendre le contrôle d’un ordinateur à distance, lui permettant l’installation d’autres logiciels, la prise de captures d’écran, l’enregistrement des mots de passe, etc. Au final, le malandrin accède à toute la machine, comme s’il était devant l’écran.
En creusant un peu son fonctionnement, les chercheurs d’Intego se sont rendus compte que la version Mac, une fois faite la liste des logiciels installés, s’intéressait tout particulièrement aux applications WeChat et DingTalk, apps de communication fortement utilisées en Chine. Il en profite au passage pour récolter la base de données des noms d’utilisateur et sites si Google Password est installé sur la machine, afin probablement de les coupler avec des mots de passes récupérés en masse grâce aux diverses attaques de sites.
Mais au final, comment s’installe-t-il ? Comme tout Trojan, il aime à se faire passer pour une application banale, ou s’accrocher à l’une d’elles, pour mieux infiltrer les ordinateurs. Entre autres, les chercheurs ayant découvert HZ RAT l’ont croisé sur une version modifiée d’OpenVPN Connect, et le soupçonnent de pouvoir se glisser dans les Google Ads.
Cette affaire permet de rappeler quelques conseils de bon sens : les Macs ont beau être moins souvent la cible de malwares et autres attaques, ils n’en restent pas moins vulnérables, tout autant que peut l’être un PC sous Windows ou Linux ; le système impénétrable n’existe pas.
Il est donc conseillé d’aller récupérer ses applications, autant que possible, sur l’AppStore ou directement sur le site de l’éditeur, sans passer par des intermédiaires non reconnus. Le système de notarisation d’Apple est aussi un bon moyen de confirmer qu’une app est sûre, mais il n’est pas parfait : on se rappellera du cas de Transmission, infecté par KeRanger en 2016, et qui passait tranquillement les défenses de la machine.
