Des chercheurs en sécurité ont, de nouveau, publié des informations sur DazzleSpy, un logiciel malveillant pour Mac qui permet la surveillance à distance des touches du clavier, la prise de captures d'écran, l'accès à la webcam, au microphone, etc.Initialement, DazzleSpy a été utilisé pour cibler des militants pour la démocratie à Hong Kong, d'abord par le biais d'un faux site web, puis par le biais d'un vrai site web, dans le cadre d'une attaque dite "watering hole"...

Un malware signalé en novembre 2021

Si vous nous suivez régulièrement, cela doit vous rappeler cet étudiant qui a réussi à hacker la caméra des Mac, avant de la signaler à Apple et d'empocher 100 000$. Mais DazzleSpy a été exploité par plusieurs personnes à travers la planète.Le groupe d'analyse des menaces (TAG) de Google a signalé l'attaque pour la première fois en novembre de l'année dernière :

Les attaques de type "Watering hole" sont ainsi nommées parce qu'elles se concentrent sur les sites qui concentrent l'afflux de visiteurs.

De nouvelles informations sur le malware DazzleSpy pour Mac

Bien que Google ait révélé quelques détails à l'époque, il s'avère que ce sont les chercheurs en sécurité d'ESET qui l'ont découvert en premier, et la société a maintenant publié des informations plus détaillées. On apprend que les firmwares touchés sont macOS 10.15.3 et supérieurs, macOS 11 Big Sur compris.Déterminer l'origine de l'attaque n'a semble-t-il pas été très compliqué :

Le code contient également du chinois, et les dates et heures des informations renvoyées au serveur sont converties dans le fuseau horaire de Shanghai.L'attaque a utilisé un exploit du moteur de rendu WebKit utilisé dans Safari. L'exploit est complexe - avec plus de 1 000 lignes de code - il est donc nécessaire de lire l'article complet en anglais pour une compréhension détaillée, mais le processus simplifié est le suivant :

1. Télécharger un fichier à partir de l'URL fournie en argument
2. Décrypter ce fichier en utilisant AES-128-EBC et TEA avec un delta personnalisé
3. Écrire le fichier résultant dans $TMPDIR/airportpaird et le rendre exécutable
4. Utiliser l'exploit d'escalade des privilèges pour supprimer l'attribut com.apple.quarantine du fichier afin d'éviter de demander à l'utilisateur de confirmer le lancement de l'exécutable non signé
5. Utiliser la même escalade de privilèges pour lancer l'étape suivante avec les privilèges de l'administrateur.

Cela donne au logiciel malveillant un accès administrateur sans aucune interaction avec l'utilisateur.Le malware lui-même est extrêmement puissant, permettant à l'attaquant d'accéder à de multiples commandes :

Apple a corrigé les vulnérabilités utilisées, notamment avec iOS 12.5.5 et la mise à jour de sécurité 2021-006 de Catalina. N'hésitez pas à vérifier que vous avez fait les mises à jour, et si vous n'êtes pas rassuré, à regarder les antivirus comme Intego X9 qui est entièrement conçu et optimisé pour macOS.