Comment le malware Shlayer a contourné les protections des Mac pendant 2 mois
Un simple double clic sur le mauvais fichier, et le malware Shlayer pouvait s'installer sur le Mac de sa victime.
Il n'est pas courant que des malwares puissent se déployer avec un simple double clic sur les ordinateurs d'Apple. Ces derniers ont construit une partie de leur réputation autour des logiciels de sécurité intégrés de base à macOS .En principe, macOS ne laisse passer que les applications dont les fichiers affichent une certification Apple, et celles qu'elle a déjà sont passées dans ses modules de vérification à la recherche de malware connu. Concrètement, Apple tient à jour une sorte de liste blanche, et si l'utilisateur télécharge un programme qui n'en fait pas partie, il en sera averti pour qu'il soit conscient de sa prise de risque.
En conséquence, tant que l'utilisateur n'a pas validé le téléchargement de l'app manuellement, elle ne pourra pas s'exécuter. Cette protection complique grandement le travail des malfrats ; non seulement ils doivent convaincre leurs victimes de télécharger le malware, mais ils doivent aussi les convaincre d'ignorer les alertes de macOS.
Une faille exploitée pendant près de deux mois
Mais Shlayer -- pour la deuxième fois en deux ans -- est parvenu à contourner ce système de vérification. D'après l'équipe de recherche de Jamf, les développeurs du malware ont trouvé une faille sur Gatekeeper début mars 2021. Cet outil de macOS joue un rôle crucial dans la vérification et le blocage des apps inconnues que nous venons de décrire, et la faille permettait aux malfrats de le tromper. Heureusement, le chercheur Cedric Owens a lui aussi trouvé la faille à la même période.
Il a sollicité Patrick Wardle, un des chercheurs les plus réputés sur macOS, pour corroborer ses recherches, puis ils les a présentées à Apple. Résultat : la vulnérabilité a été corrigée par l'éditeur dans la mise à jour 11.3 de macOS Big Sur, publiée ce lundi 26 avril. Les malfaiteurs ont donc pu l'exploiter pendant près de 2 mois, mais tous les Mac qui ont reçu la mise à jour sont désormais protégés.
Shlayer, ennemi numéro 1 de macOS ?
Comme l'explique très bien Techcrunch, le bug découvert par Owens consiste piéger Gatekeeper en lui présentant une app construite de façon inhabituelle. Il faut savoir que les apps macOS se présentent sous la forme d'un ensemble de fichiers, organisés d'une certaine manière. L'un d'entre eux va inclure une « liste de propriétés » qui va indiquer à macOS où trouver tel ou tel fichier de l'application.
Owens a découvert que s'il éjectait ce fichier et qu'il organisait les autres d'une certaine manière, Gatekeeper considère l'ensemble comme vérifié par Apple. En conséquence, macOS commençait à exécuter le code sans déclencher ses mécanismes de vérification.
Avec cette nouvelle prouesse, Shlayer se positionne plus que jamais comme le malware de référence sur macOS. Kaspersky avait déjà relevé sur l'année 2019 que ce logiciel malveillant se cachait derrière un dixième des détections de malwares sur Mac. Historiquement, Shlayer se faisait passer pour Flash Player pour piéger ses victimes. Désormais, il se diffuse dans de fausses publicités sur des sites compromis, ou en se plaçant sur des pages affichées en tête de certaines requêtes sur les moteurs de recherches.
Non seulement Shlayer a un large faisceau de diffusion, mais en plus, ses créateurs sont capables de découvrir régulièrement de nouvelles failles dans les produits d'Apple. On a donc affaire à un groupe de cybercriminels avancé, qui cherche à viser le plus grand nombre. Il ne manque plus qu'il s'associe avec d'autres gangs célèbres pour qu'il devienne un problème plus qu'épineux.