Des techniques érodées de piratage sous Windows font désormais leur apparition sur Mac. C’est notamment le cas de documents Word emportant des macros néfastes, qui cherchent à récupérer et à installer des malwares.
C’est peu de dire que les attaques par macros sont vieilles comme le monde. Il faut remonter aux années 90 et à l’arrivée de cette fonctionnalité dans Office de Microsoft pour en trouver les débuts. Les macros sont en fait du code écrit en Visual Basic, qui permet d’effectuer des actions complémentaires au sein du documents.
La fonctionnalité se voulait évidemment puissante, en outrepassant les limites d’une simple interface graphique. Elle était également facile d’accès puisque le Visual Basic avait été pensé pour être simple d’apprentissage et d’emploi. Malheureusement, il a rapidement été détourné par des pirates qui ont conçu des documents spécifiques, emportant des commandes malveillantes afin de pouvoir installer automatiquement un malware. De là le fameux conseil « Attention aux pièces jointes ! ».
Le retour des bonnes vieilles macros
Et voilà qu’environ 25 ans plus tard, le même problème débarque sur les Mac. Plusieurs chercheurs ont ainsi repéré un document s’intitulant « U.S. Allies and Rivals Digest Trump's Victory – Carnegie Endowment for International Peace », jouant clairement sur les grandes marées provoquées par l’élection de Donald Trump. Il s’agit d’un document Word, que l’utilisateur doit ouvrir avec Office pour Mac pour que la macro ait une chance de fonctionner.
Ces macros ne se lancent cependant pas de manière automatique. Si Word détecte qu’un document en contient, il demande l’autorisation à l’utilisateur avant de l’exécuter. Pour peu que ce dernier soit un peu malin, il devrait se douter que quelque chose cloche. S’il ne l’est pas, la macro télécharge puis installe un malware, via un script en Python et depuis une IP en Russie. Cette action ne se déclenche que si LittleSnitch (outil de surveillance réseau) n'est pas détecté. Le malware récupère ensuite les mots de passe, clés de chiffrement et historique de navigation, en plus de pouvoir accéder à la webcam.
Comme l’indique Patrick Wardle, directeur de recherche chez Synack, rien dans cette technique n’est particulièrement évolué. La méthode est particulièrement ancienne, le code n’est pas particulièrement bien fait, et la partie en Python est tout simplement reprise d’EmPyre, un kit d’exploitation open source pour Mac.
L'ancienneté de la technique n'y change rien
Pourtant, même si elle n’est pas élégante, cette technique fonctionne. Le malware est parfaitement opérationnel et réalise sa basse besogne si l’utilisateur lui en donne le droit. En outre, la menace des macros ne peut pas être prise à la légère, malgré son âge. Elle reste très efficace, étant par exemple au centre de la famille de malwares Locky.
La vraie « force » des macros est le temps qu’elles nécessitent à leur création en regard de l’angle d’attaque choisi : l’utilisateur. Il est aisé de les cacher dans des documents et de bâtir un scénario bien particulier qui motivera la cible à l’ouvrir. Et si vous estimiez encore que ce genre d’histoire appartient au passé, rappelons qu’une centrale électrique d’Ukraine s’est arrêtée en décembre 2015 à cause d’une attaque de ce genre, privant 225 000 personnes d’électricité pendant environ une journée.
Finalement, le conseil répété depuis plus de deux décennies est toujours d’actualité : faites attention aux pièces jointes.
Le malware caché derrière un faux lecteur Flash
Là encore, la technique est très connue, et on la trouve encore facilement sur des sites au fort pouvoir attracteur, notamment de streaming. Il s’agit de motiver l’internaute à installer un petit programme qui va permettre la lecture d’un contenu multimédia. Vous l’aurez deviné, le petit programme en question n’a rien de sympathique.
Les chercheurs en sécurité Claudio Guarnieri et Collin Anderson ont ainsi repéré un site se faisant passer pour celui de la société United Technologies, spécialisée dans l’aérospatiale. Ils l’ont repéré d’autant plus vite que cette copie a déjà été utilisée au cours des dernières années pour des attaques visant Windows.
Le principe n’a pas changé : un cadre indique qu’un contenu Flash ne peut pas être lu et qu’il faut récupérer une mise à jour, dont le lien est bien entendu fourni gracieusement. En fait de lecteur Flash, il s’agit d’un malware, MacDownloader, qui s’installe et tente de remplir sa mission.
Une attaque préparée à la va-vite
Le malware a pour mission de voler des identifiants, soit en fouillant dans Trousseau de l’utilisateur, soit en affichant de fausses fenêtres de dialogue qui réclament le mot de passe. Mais les chercheurs jugent le risque global assez peu élevé. Ainsi, le message prévenant que Flash n’est pas à jour est en français, tandis que les fenêtres de dialogues sont en anglais et comportent de très nombreuses fautes.
Par ailleurs, même si la fenêtre d’installation indique « Adobe Flash Player », la barre de menu affiche de son côté… « Bitdefender Adware Removal Tool », comme si les pirates avaient à la va-vite mélangé plusieurs scénarios d’attaque. MacDownloader est en outre censé installer un autre malware, mais n’y arrive pas. Le seul vrai risque serait donc de ne pas se rendre compte des incohérences dans les langues utilisées, ainsi que des fautes conséquentes dans les boites de dialogue.
Selon Guarnieri et Anderson, la menace émanerait d’Iran et viserait en particulier les employés de l’industrie américaine de la défense. Ils ont également observé que le malware avait été utilisé contre au moins un défenseur des droits de l’homme.
