Les pirates sont bien embêtés : macOS Sequoia serre la vis niveau sécurité et apporte de nouvelles protections pour empêcher les utilisateurs distraits d’installer n’importe quoi sur leur machine. Il est désormais nécessaire de passer dans les Réglages Systèmes pour lancer un programme qui n’est pas notarisé par Apple, là où on pouvait auparavant se contenter de faire clic droit -> Ouvrir. Les malandrins s’adaptent, 9to5Mac ayant remarqué une nouvelle méthode visant à outrepasser les sécurités d’Apple.
Interesting #macOS #stealer sample here that deviates from the classic "right click open" execution route and instead instructs the user to open Terminal (directly from the mounted Volume) then drag and drop a "txt" file onto the Terminal window. The "txt" file is actually a Bash… https://t.co/K94TswPdyF pic.twitter.com/JIz8rPkGFW
— DefSecSentinel (@DefSecSentinel) October 10, 2024
Le changement a été observé sur un virus appelé Cosmical_setup. Celui-ci prend la forme d’un fichier .dmg envoyé sur le Mac de la victime. Pour l’inciter à l’ouvrir, celle-ci affiche un raccourci vers le Terminal avant d’inviter l’utilisateur à y faire glisser un fichier .txt présent au côté de l’installeur. Celui-ci est en fait un script Bash malveillant déclenchant l'exécution d’Osascript, qui lance des commandes AppleScript. À partir de là, l’utilisateur est infecté.
Reste à voir si cette nouvelle méthode réussira à piéger les victimes : la démarche est bien moins aisée qu’un simple clic droit, et la vue d’une fenêtre de Terminal pourra décourager certains utilisateurs. Une démo vidéo a été mise en ligne dans laquelle on peut voir que le script demande ensuite le mot de passe administrateur du Mac.
L’installation d’une app non signée est beaucoup plus complexe sur Sequoia. Double cliquer sur une app inconnue affiche un avertissement et propose uniquement de la placer à la corbeille. Apple ne l’indique pas, mais il est nécessaire d’aller valider la démarche dans le panneau Confidentialité et sécurité des Réglages pour l’ouvrir. Plusieurs alertes s’affichent avant la validation finale, ce qui laisse bien plus de temps à l’utilisateur de réaliser qu’il est potentiellement en train de faire une bêtise.
