Passer au contenu

Gare au premier macrovirus Office conçu… pour les Mac

Pour la première fois, des chercheurs en sécurité ont mis la main sur un malware spécifiquement conçu pour macOS qui s’appuie sur une technique de piratage ancestrale liée aux produits Microsoft.

Utiliser la suite Microsoft Office sur un ordinateur Mac peut être très pratique, surtout depuis la disponibilité de la version Office 2016. Il faut néanmoins rester attentif au risque lié aux macrovirus, ces malwares qui se cachent dans les documents Office et qui s’appuient sur le macrolangage Visual Basic for Applications (VBA) pour infecter une machine. Cette technique de piratage est toujours assez répandue car elle permet de contourner les protections antivirus.  

Jusqu’à présent, les utilisateurs macOS n’avaient pas à se préoccuper de ce problème, car l’infection qui en découlait ciblait généralement les ordinateurs Windows. Ce n’est plus le cas aujourd’hui. Des chercheurs en sécurité viennent de mettre la main sur un macrovirus qui a été réalisé spécifiquement pour macOS. Il serait le premier du genre.

Pas très sophistiqué

Le malware a été décortiqué, entre autres, par le chercheur en sécurité Patrick Wardle. Le malware se diffuse au travers d’un document Word intitulé « US Allies and Rivals Digest Trump’s victory ». Celui-ci contient une macro capable d’exécuter un code Python dont la mission est de vérifier la présence de Little Snitch, un logiciel de pare feu assez populaire sur Mac OS X, puis, s’il est absent, de télécharger un second malware sur le site www.securitychecking.org.

Ce code Python provient en réalité d’une plateforme de piratage open source appelée EmPyre, bien connue chez les experts de sécurité. Patrick Wardle pense que le second malware en question – qui n’est plus disponible sur le site web des pirates – est le logiciel backboor du projet EmPyre. Celui-ci offre de manière persistante un accès à distance au Mac infecté pour, par exemple, faire de l’espionnage. « Au final, ce malware n’est pas particulièrement sophistiqué. Il s’appuie sur une action utilisateur (ouvrir un document Microsoft office) et requiert l’activation des macros », souligne le chercheur en sécurité. L’utilisateur averti pourra donc aisément échapper à cette attaque.

Un faux plugin Adobe sur des sites piégés

A noter qu’un second malware pour Mac a été détecté récemment. Baptisé MacDownloader, il ciblerait principalement des personnes du domaine militaire et aéronautique et serait l’œuvre de hackers iraniens. Il se diffuse au travers de sites web piégés sur lesquels les utilisateurs sont invités à mettre à jour leur plugin Adobe Flash Player pour visionner certaines vidéos. S’ils tombent dans le panneau, ils se retrouvent piégés par ce logiciel malveillant, dont la mission principale est de collecter un maximum d’identifiants et de mots de passe.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN