Une récente enquête de Moonlock révèle une campagne alarmante de malware ciblant les utilisateurs Mac, se dissimulant derrière de fausses versions d’applications populaires telles que Loom et LedgerLive. Cette menace, bien que subtile, pourrait sérieusement compromettre la sécurité de vos données. Découvrez les détails de cette attaque et les mesures à adopter pour vous protéger.
Une attaque de malware Mac « sophistiquée et alarmante » est menée sous le couvert de versions gratuites d’applications populaires comme l’utilitaire d’enregistrement d’écran Loom, le gestionnaire de crypto-monnaie LedgerLive et le jeu MMO Black Desert Online.
Il semble qu’il s’agisse d’une attaque bien organisée, avec de fausses offres d’applications Mac promues via une combinaison de publicités Google d’apparence légitime et d’e-mails de phishing…
La campagne de malware a été découverte par Moonlock, un groupe de cybersécurité de MacPaw, le développeur de l’application CleanMyMac. L’équipe explique qu’au départ, elle semblait se limiter à imiter Loom.
Chez Moonlock Lab, nous avons récemment découvert une menace sophistiquée et alarmante qui se propage via des URL sponsorisées par Google. La menace, un malware de vol ciblant macOS, se fait passer pour l’application populaire Loom, un outil d’enregistrement d’écran largement utilisé.
Notre enquête a débuté lorsque nous avons remarqué une publicité Google qui semblait promouvoir l’application officielle Loom. À première vue, elle semblait légitime, incitant les utilisateurs à cliquer sur ce qui semblait être une source fiable. Cependant, après avoir cliqué sur le lien, les choses ont pris une tournure désagréable.
Mais une enquête plus approfondie a révélé que des publicités et des promotions pour d’autres applications étaient également utilisées pour diffuser le même logiciel malveillant. Il s’agit notamment de :
- Désert noir en ligne
- Calendly
- Chrome
- Figma
- Firefox
- Gatherum
- LedgerLive
- Lanceur de fête
- Safari
- Zoom
Au moins une des campagnes de phishing cible spécifiquement les créateurs YouTube, prétendant leur offrir un lien de téléchargement spécifique au créateur vers Black Desert Online.
Le lien LedgerLive est particulièrement dangereux car, une fois téléchargé, il remplace la véritable application.
En remplaçant l’application authentique par une version malveillante, les attaquants peuvent potentiellement accéder aux portefeuilles de cryptomonnaies des victimes et les vider. Cela peut entraîner des pertes financières, car le clone malveillant est conçu pour imiter de près l’apparence et les fonctionnalités de l’application légitime, ce qui rend difficile pour les utilisateurs de détecter la compromission.
[It is capable of] récupérer des fichiers, des informations sur le matériel, des mots de passe, des données de navigateurs, des informations d’identification de vidage de trousseau, etc.
On pense qu’un groupe bien organisé connu sous le nom de Crazy Evil est à l’origine de cette campagne.
Comme toujours, téléchargez uniquement des applications depuis le Mac App Store ou des sites de développeurs de confiance, et vérifiez que l’URL ne change pas vers un autre domaine lorsque vous cliquez sur le lien de téléchargement.