MacOS : Un malware conçu pour miner des cryptomonnaies vise actuellement les Mac, et spécialement les ordinateurs avec une puce M conçue par Apple. Pour se protéger du virus, les experts recommandent d’installer la mise à jour Ventura sans tarder.
Les chercheurs en cybersécurité de Jamf Threat Labs ont découvert un logiciel malveillant caché dans le code de certaines copies pirates de Final Cut Pro, le programme de montage vidéo destiné aux Mac.
Ces versions vérolées ont été mises en ligne par un contributeur sur The Pirate Bay, la célèbre plate-forme de téléchargement illégal. L’internaute propose aussi des versions pirates de logiciels phares, comme Adobe Photoshop et Logic Pro.
« Le torrent a été téléchargé par un utilisateur ayant des années de téléchargements de torrents logiciels macOS piratés à son actif », explique Jamf Threat Labs.
XMRig, le malware qui mine des cryptos à votre insu
Baptisé XMRig, le malware vise donc exclusivement les ordinateurs conçus par Apple. Il est conçu pour miner des cryptomonnaies à l’insu du propriétaire d’un MacBook ou d’un iMac. Pour miner des cryptoactifs, XMRig exploite la puissance du processeur et de la carte graphique de la machine. Le procédé, appelé cryptojacking, ralentit considérablement les performances de l’ordinateur. Ce type de logiciels peut endommager les composants ainsi que la batterie, dont l’autonomie va fondre à vue d’œil. Dans certains cas, le processus use prématurément les composants, rendant l’ordinateur inutilisable. Au détriment de leurs victimes, les hackers génèrent rapidement des revenus en cryptomonnaies.
Pour éviter que les systèmes de sécurité d’Apple ne repèrent la menace, les pirates ont mis au point plusieurs astuces. Par exemple, XMRig est capable de cacher sa présence au moniteur d’activité du système d’exploitation. Si l’utilisateur suspecte quelque chose et jette un œil aux processus en cours d’activités, il ne découvrira rien d’anormal. Le maliciel cesse en effet toutes ses activités dès que le moniteur est ouvert.
Dans la même optique, le maliciel est aussi parvenu à berner Spotlight, le moteur de recherche de fichiers intégrée aux ordinateurs Apple. Le logiciel a défini le nom de certains processus de minage comme des processus de service légitimes liés à la fonctionnalité Spotlight. Là encore, l’utilisateur n’est pas en mesure de repérer les traces d’une activité suspecte, malgré ses suspicions.
Les Macs avec une puce Apple, une cible de choix
D’après les chercheurs, la puissance des puces M, conçues par Apple Silicon sur base de l’architecture ARM, a peint une cible dans le dos des nouveaux Mac. Sans surprise, les pirates souhaitent profiter des performances élevées des ordinateurs pour miner des cryptomonnaies. Dans ce contexte, Jamf Threat Labs s’attend à une augmentation du nombre de virus visant les Mac dans les mois à venir :
« Étant donné que le minage de crypto nécessite une quantité importante de puissance de traitement, il est probable que les progrès continus des processeurs Apple ARM rendront macOS encore plus attrayant pour le cryptojacking ».
Pour se protéger de la menace XMRig, les utilisateurs devraient installer la mise à jour macOS Ventura, déployée l’automne dernier, sur leurs ordinateurs. Comme l’explique Jamf Threat Labs, la mise à jour introduit d’importantes améliorations en matière de sécurité informatique. La nouvelle version de l’OS vérifie par exemple que tous les logiciels installés n’ont pas été modifiés ultérieurement par un tiers, lors de chaque lancement du programme.
En clair, le système d’exploitation aurait théoriquement repéré qu’un hacker avait modifié le fichier d’installation de Final Cut Pro pour y glisser une charge malveillante à distance, même après un premier lancement. D’après l’enquête menée par Jamf Threat Labs, il n’a d’ailleurs pas été possible d’installer la version pirate sur un MacBook ayant installé Ventura :
« Sur macOS Ventura, la version modifiée de Final Cut Pro n’a pas pu se lancer et nous avons reçu un message d’erreur. C’est parce que le logiciel malveillant a laissé une signature d’origine intacte, mais a modifié l’application, invalidant ainsi la signature et enfreignant la politique de sécurité du système ».
La témérité des utilisateurs
Dans un communiqué relayé par nos confrères de 9to5Mac, Apple assure continuer à mettre à jour XProtect, la technologie antivirus incorporée à macOS, pour bloquer les virus comme XMRig. La firme précise que cette famille de maliciels n’est pas capable de contourner Gatekeeper, la fonction qui vérifie les applications téléchargées avant de les autoriser à s’exécuter sur la machine.
Malheureusement, il est toujours possible que l’internaute décide d’autoriser manuellement l’installation. Comme l’explique Jamf Threat Labs, « l’utilisateur sait qu’il fait quelque chose d’illégal, et il n’est pas surpris que la sécurité intégrée d’Apple l’empêche d’exécuter des logiciels piratés ». C’est pourquoi de nombreux internautes n’hésitent pas à passer outre Gatekeeper…