Macros, fausses mises à jour : quand de vieilles menaces débarquent sur Mac
Les meilleurs pots
Des techniques érodées de piratage sous Windows font désormais leur apparition sur Mac. C’est notamment le cas de documents Word emportant des macros néfastes, qui cherchent à récupérer et à installer des malwares.
C’est peu de dire que les attaques par macros sont vieilles comme le monde. Il faut remonter aux années 90 et à l’arrivée de cette fonctionnalité dans Office de Microsoft pour en trouver les débuts. Les macros sont en fait du code écrit en Visual Basic, qui permet d’effectuer des actions complémentaires au sein du documents.
La fonctionnalité se voulait évidemment puissante, en outrepassant les limites d’une simple interface graphique. Elle était également facile d’accès puisque le Visual Basic avait été pensé pour être simple d’apprentissage et d’emploi. Malheureusement, il a rapidement été détourné par des pirates qui ont conçu des documents spécifiques, emportant des commandes malveillantes afin de pouvoir installer automatiquement un malware. De là le fameux conseil « Attention aux pièces jointes ! ».
Le retour des bonnes vieilles macros
Et voilà qu’environ 25 ans plus tard, le même problème débarque sur les Mac. Plusieurs chercheurs ont ainsi repéré un document s’intitulant « U.S. Allies and Rivals Digest Trump's Victory – Carnegie Endowment for International Peace », jouant clairement sur les grandes marées provoquées par l’élection de Donald Trump. Il s’agit d’un document Word, que l’utilisateur doit ouvrir avec Office pour Mac pour que la macro ait une chance de fonctionner.
Ces macros ne se lancent cependant pas de manière automatique. Si Word détecte qu’un document en contient, il demande l’autorisation à l’utilisateur avant de l’exécuter. Pour peu que ce dernier soit un peu malin, il devrait se douter que quelque chose cloche. S’il ne l’est pas, la macro télécharge puis installe un malware, via un script en Python et depuis une IP en Russie. Cette action ne se déclenche que si LittleSnitch (outil de surveillance réseau) n'est pas détecté. Le malware récupère ensuite les mots de passe, clés de chiffrement et historique de navigation, en plus de pouvoir accéder à la webcam.
Comme l’indique Patrick Wardle, directeur de recherche chez Synack, rien dans cette technique n’est particulièrement évolué. La méthode est particulièrement ancienne, le code n’est pas particulièrement bien fait, et la partie en Python est tout simplement reprise d’EmPyre, un kit d’exploitation open source pour Mac.
L'ancienneté de la technique n'y change rien
Pourtant, même si elle n’est pas élégante, cette technique fonctionne. Le malware est parfaitement opérationnel et réalise sa basse besogne si l’utilisateur lui en donne le droit. En outre, la menace des macros ne peut pas être prise à la légère, malgré son âge. Elle reste très efficace, étant par exemple au centre de la famille de malwares Locky.
La vraie « force » des macros est le temps qu’elles nécessitent à leur création en regard de l’angle d’attaque choisi : l’utilisateur. Il est aisé de les cacher dans des documents et de bâtir un scénario bien particulier qui motivera la cible à l’ouvrir. Et si vous estimiez encore que ce genre d’histoire appartient au passé, rappelons qu’une centrale électrique d’Ukraine s’est arrêtée en décembre 2015 à cause d’une attaque de ce genre, privant 225 000 personnes d’électricité pendant environ une journée.
Finalement, le conseil répété depuis plus de deux décennies est toujours d’actualité : faites attention aux pièces jointes.
Le malware caché derrière un faux lecteur Flash
Là encore, la technique est très connue, et on la trouve encore facilement sur des sites au fort pouvoir attracteur, notamment de streaming. Il s’agit de motiver l’internaute à installer un petit programme qui va permettre la lecture d’un contenu multimédia. Vous l’aurez deviné, le petit programme en question n’a rien de sympathique.
Les chercheurs en sécurité Claudio Guarnieri et Collin Anderson ont ainsi repéré un site se faisant passer pour celui de la société United Technologies, spécialisée dans l’aérospatiale. Ils l’ont repéré d’autant plus vite que cette copie a déjà été utilisée au cours des dernières années pour des attaques visant Windows.
Le principe n’a pas changé : un cadre indique qu’un contenu Flash ne peut pas être lu et qu’il faut récupérer une mise à jour, dont le lien est bien entendu fourni gracieusement. En fait de lecteur Flash, il s’agit d’un malware, MacDownloader, qui s’installe et tente de remplir sa mission.
Une attaque préparée à la va-vite
Le malware a pour mission de voler des identifiants, soit en fouillant dans Trousseau de l’utilisateur, soit en affichant de fausses fenêtres de dialogue qui réclament le mot de passe. Mais les chercheurs jugent le risque global assez peu élevé. Ainsi, le message prévenant que Flash n’est pas à jour est en français, tandis que les fenêtres de dialogues sont en anglais et comportent de très nombreuses fautes.
Par ailleurs, même si la fenêtre d’installation indique « Adobe Flash Player », la barre de menu affiche de son côté… « Bitdefender Adware Removal Tool », comme si les pirates avaient à la va-vite mélangé plusieurs scénarios d’attaque. MacDownloader est en outre censé installer un autre malware, mais n’y arrive pas. Le seul vrai risque serait donc de ne pas se rendre compte des incohérences dans les langues utilisées, ainsi que des fautes conséquentes dans les boites de dialogue.
Selon Guarnieri et Anderson, la menace émanerait d’Iran et viserait en particulier les employés de l’industrie américaine de la défense. Ils ont également observé que le malware avait été utilisé contre au moins un défenseur des droits de l’homme.
Commentaires (59)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 11/02/2017 à 10h21
Oui, j’en ai vu aussi. Des popup sur le net invitant à protéger son mac…
Le 11/02/2017 à 10h22
“Une attaque prépare à la va-vite” comme cet article ?
Bien sur, ce sera l’occasion pour les éditeurs d’anti virus de sa faire quelques sous.
On pourrais même penser qu’ils ne sont pas blanc dans ces petites attaques…
Le 11/02/2017 à 10h23
“maybe will automatically closed”
" />
J’en connais qui se feraient piéger (l’un utilise OSX et l’autre Windows 10).
Je crois que le plus gros problème n’est pas le malware en lui même mais l’intérêt que l’usager porte à la sécurité.
Le 11/02/2017 à 10h43
Vieux, mais pas obsolètes.
" />
Le 11/02/2017 à 11h00
L’utilisateur qui ne lit pas la boite de dialogue aussi ? Du coup les fautes…
Le 11/02/2017 à 11h10
ouais faut bien penser à mettre à jour chrime
Le 11/02/2017 à 11h25
Les gens ne lisent pas et valident tout jusqu’à voir ce qu’ils attendent, pas surprenant que ce genre de procédés fonctionnent.
Le 11/02/2017 à 11h38
Le 11/02/2017 à 12h10
Pour peu que ce dernier soit un peu malin, il devrait se douter que quelque chose cloche.
Pas sympas pour ceux qui auront été touchés par ces malwares et qui liront l’article.
Le 11/02/2017 à 12h20
Le screen du faux flash player, je l’ai vu sur PC.
Le 11/02/2017 à 12h25
“addone flashplayer” (sur le bureau) 
" />
Le 11/02/2017 à 12h52
Le 11/02/2017 à 13h14
Pour l’OS Mac, le plus gros problème est que nombre d’utilisateurs sont convaincus qu’ils ne risquent absolument rien parce qu’ils ont un Mac.
C’est valable aussi pour Linux d’ailleurs.
Le 11/02/2017 à 14h43
Je ne comprendrais jamais pourquoi des types capables d’élaborer des malwares sont aussi nuls en intégration. A croire qu’ils le font exprès. Ou que, comme ça a déjà été évoqué, ils se marrent en constatant que les novices continuent de cliquer frénétiquement sur OK.
Le 11/02/2017 à 16h49
Je suis sous Mac et je n’ai jamais trop su s’il fallait un antivirus… j’ai pris Sophos, recommandé sur quelques sites à l’époque de l’achat de mon mac. L’article parle de little snitch, c’est un complément intéressant ?
Le 11/02/2017 à 19h05
Je dirais que le malware de base et l’intégration sont surement fait par 2 personnes différentes.
Il y a eu avant la revente du malware (aujourd’hui, avec TOR, et autre dark web, et Bitcoin, le premier mec un peu motivé a de quoi trouver son bonheur sur du marché noir) qui est ensuite exploité à toutes les sauces en multipliant les intégrations à la va-vite, privilégiant la quantité à la qualité, il y en a toujours une qui passe.
Le 11/02/2017 à 19h11
Le 11/02/2017 à 19h12
Non, comme l’orthographe de ton post ;)
Le 11/02/2017 à 19h52
Il ne faut pas oublier la pub d’Apple sur le fait qu’il n’y a pas de virus sous Mac. Bizarrement, il n’y a jamais eu de class action sur ce mensonge.
Le 11/02/2017 à 20h50
Sur mon Mac Mini j’ai parfois une popup me demandant mon mdp pour à jour des polices de caractères… Je ne sais d’où ça provient
Le 11/02/2017 à 22h27
en tant que tech PC et Mac, mon pire cas d’infection fut sous un réseau mac de 20⁄30 postes chez un nouveau client.
Un vieux virus de macro avait infecté tous les fichiers modèles de word par défaut (normal.dot). c’est un vieux virus des années 90 totalement inoffensif sous mac. sauf qu’il infectait tous les documents ouverts dans word depuis l’infection. et les fichiers infectés infectaient à nouveau les macs de ceux qui les ouvraient. Dans une entreprise ça va vite avec les partages réseau.
problème : les gens n’étaient plus capables d’envoyer des pièces jointes de documents word car les serveurs de messageries (doté d’antivirus) les effaçaient.
Il a fallut passer sur TOUS les postes pour nettoyer TOUS les fichiers word infectés. (oui car les gens ne mettaient pas tout sur le réseau, ça serait trop simple sinon)
et comme les antivirus sur mac sont désuets, ils peuvent juste effacer/mettre en quarantaine, pas nettoyer. donc il fallait déplacer tous les fichiers sur un PC puis faire le scan, et remettre les fichiers sur le mac.
Problème : sur mac les gens peuvent mettre des caractères spéciaux dans le nom des fichiers (genre des # ( ) : etc), mais pas sur PC, donc la copie échouait souvent.
après il a fallut isntaller un antivirus pour éviter que ça ne revienne. Sauf que trouver un antivirus d’entreprise géré par un serveur, sous mac, à l’époque il n’y avait que très peu de produits.
On a mis Trend Micro sauf que ça ralentissait les ordis
et les gens n’étaient pas contents qu’on les oblige à migrer leurs documents sur le réseau.
…..
cascade de problèmes qui a couté un blinde en temps homme, tout ça pour un vieux virus désuet des années 90.
Sur PC n’importe quel antivirus (même celui par défaut de windows) l’aurait détruit en 0,001 s
Le 12/02/2017 à 00h09
“Celui par défaut de Windows” ne passe même pas le test EICAR.
A éviter !
Le 12/02/2017 à 00h52
…
Le 12/02/2017 à 01h06
La definition du test EICAR, c’est “le fichier contient la chaine en question.”
Tu mets un fichier contenant 2 fois l’EICARet tu obtiens un taux de détection bien moindre que le test simple.
Le 12/02/2017 à 08h42
Defender sous Windows 10 passe ce test sans problème chez moi…
Le 13/02/2017 à 09h03
Le 13/02/2017 à 09h25
Au passage, sur les macros, on est pas aidé. Aujourd’hui la quasi-totalité des banques françaises proposent à leur client un relevé bancaire en ligne qu’ils peuvent ensuite télécharger sur leur ordinateurs. Elles vous proposent même plusieurs formats de fichiers.
Problème, si vous téléchargez une version dans un format Excel, votre document est chargé de macros…
Allez expliquer aux gens qu’il faut faire attention aux macros, aux pièces-jointes… quand votre banque, les gars qui gardent votre argent, sont incapables de nettoyer chez eux.
Notez, je n’ai jamais entendu parler de malware qui passerait par ce canal là. Mais sur le principe, on voit que même des gens qui auraient a priori des raisons importantes de faire attention et d’enseigner de bonnes pratiques ne le font pas…
Le 13/02/2017 à 09h51
Le 13/02/2017 à 10h15
Le 13/02/2017 à 10h39
Cherche pas, c’est le fanboy bas du front qui t’as parlé. Je ne suis même pas sur que tu aies réussi à déclencher chez lui une once de réflexion au dessus du niveau auquel il t’a répondu.
C’est tabou chez eux ce genre de choses…
Le 13/02/2017 à 11h46
Le 13/02/2017 à 12h47
Merci pour ce site en FR
" /> parce que l’EN et moi, comment dire 
" />
" />
" />
" />
favo
Mis dans les marques-pages (oh tiens, j’utilise FFox
Le 13/02/2017 à 13h11
Ouais, installons un logiciel espion de plein gré, parce que nous, on est des power user de fou et donc quand on installe un truc qui ne suit aucune convention (program files?), installe un truc louche qui reste meme apres désinstallation (google updater) et collecte des données de “télémétrie pour le bien de l’humanité”, forcément, on le recommande. Ne parlons pas du blob binaire flash tout pourri.
Il faudrait etre idiot pour tenir a sa vie privée !
Le 13/02/2017 à 13h40
Le 13/02/2017 à 13h58
Le virus c’est peut être déjà microsoft office non? Dans mon ancienne boite, les entreprises clientes n’étaient pas sous mac mais on s’est choppé des cryptovirus à foison à chaque fois suite au clic sur un document word ou excel.
Malgré la présence d’un antivirus sur chaque site… mais il ne considérait pas le cryptage de documents comme une attaque…
Resultat, pc cryptés + tous les partages réseaux où il y a des droits d’écritures. C’est très sympa à gérer.
Le 13/02/2017 à 14h03
Rien n’empêche ta banque d’avoir été attaqué et de diffuser un malware voir même sans attaque par contamination interne d’un fichier. Ca reste des développements internes, rien ne garantie une fiabilité à 100%.
Voir le scandale avec la maj du logiciel transmission sur mac récemment.
Le 13/02/2017 à 14h40
Le 13/02/2017 à 15h35
Tu as le choix entre le (minuscule) risque de voir tes données personnelles pillées par un pirate quelconque sur Firefox.
Ou bien installer un logiciel dont on sait qu’il pille tes données personnelles en permanence.
Il est bien évident que Firefox est le meilleur choix, et de tres, tres loin. Il faut au contraire cesser d’utilsier Chrome, dont les parts de marché octroient a Google le droit d’imposer ses regles sur le web.
Le 14/02/2017 à 05h50
Le 14/02/2017 à 10h19
Le 14/02/2017 à 14h08
Les premiers virus auxquels j’ai eu affaire et donc j’ai eu connaissance étaient pour Mac…
Le 12/02/2017 à 14h07
Le 12/02/2017 à 14h13
Le 12/02/2017 à 15h17
Le 12/02/2017 à 17h32
Et si tu tapes 2 fois la chaîne (ou autre chose en plus ?)
Ici avec MSE à jour il ne passe rien.
Le 12/02/2017 à 17h40
Il faut vraiment être idiot à la base pour pondre une extension macro avec autant de droits. A part pour les malwares, àquoi cela sert dêtre en mesure de se balader dans le syst_me de fichier d’un ordi depuis un fichier word ou excel ou n’importe quelle application?
Si les macros étaient mieux bordées, on en serait pas là…
Le 12/02/2017 à 18h25
Le problème se situe aussi du côté des développeurs qui abusent parfois des notifications et alertes sur leurs applications.
Un exemple simple qui m’énerve régulièrement sur mobile : Waze.
Moi tout ce que je lui demande, c’est de s’ouvrir et lancer le parcours. Mais régulièrement, il y a la popup pour évaluer l’appli, pour essayer telle fonction, pour ci, pour ça, etc.
L’utilisateur, il veut que son logiciel se lance et fasse le truc qu’il a à faire. A partir de là, rien d’étonnant à ce que l’utilisateur clic sur “OK” sans réfléchir.
Le 12/02/2017 à 18h31
Je confirme que ce n’est pas détecté… mais c’est normal d’après le site officiel:
" />
Any anti-virus product that supports the EICAR test file should detect it in any file providing that the file starts with the following 68 characters, and is exactly 68 bytes long. The first 68 characters is the known string. It may be optionally appended by any combination of whitespace characters with the total file length not exceeding 128 characters. The only whitespace characters allowed are the space character, tab, LF, CR, CTRL-Z.
Bref, un antivirus qui détecte la double chaîne ne passe pas le test EICAR.
Le 12/02/2017 à 18h49
Effectivement, il ne dit rien.
Je ne sais pas trop ce que fait réellement le code, mais ajouter autre chose à la fin peu potentiellement le désactivé.
A priori, en faisant des recherche, c’est le cas. En effet, le fichier doit faire entre 68 et 128octet, or en doublant la chaine, il fait 136octet , celui-ci deviendrait alors désactivé :
The first 68 characters is the known string. It may be
optionally appended by any combination of
whitespace characters with the total file length not
exceeding 128 characters. The only whitespace
characters allowed are the space character, tab, LF,
CR, CTRL-Z.
Du coup, ce n’est pas forcément un fail, c’est juste un faux faux-négatif. Du coup, c’est le contraire, Defender fait du bon boulot.
Le 12/02/2017 à 19h28
Le 12/02/2017 à 20h26
Le 12/02/2017 à 20h30
En lisant ce site qui décrit étape par étape le code de EICAR, le programme en soit ne fait rien d’illégal en soit. La seul chose un peu tricky c’est qu’il réécrit son propre code.
Pour faire simple, de ce que j’arrive à comprendre, la contrainte principale est qu’il faille utiliser uniquement un code binaire qui puisse être ecrit avec des caractères imprimables ASCII.
Mais ensuite, le code est simple :
L’instruction INT 21 avec AH=09, c’est l’instruction d’impression de chaîne de caractère dans la sortie standard. L’emplacement de la chaîne à imprimer est donné par le registre DX, qui vaut 011C. Dans notre chaîne de caractère, c’est le gros bloc que l’on à sauté juste avant et qui commence par”EICAR…” qu’il va donc afficher à l’écran (le $ est un caractère de fin d’impression).
Enfin, INT 20 est l’instruction pour terminer un programme.
Bon, du code qui se réécrit lui même, c’est très rare mais ça se fait. Après, c’est le fait qu’en plus il soit possible d’écrire le binaire directement avec les caractères disponible sur un clavier qui peut faire tilter. Un fichier EICAR n’a rien de dangereux.
A priori, Defender, de ce que j’ai essayé ne fait qu’un test basique pour voir si il match parfaitement. En effet, j’ai essayé de modifier juste un caractère dans la chaîne, il ne le détecte plus. Cela ne veut pas dire que c’est un mauvais antivirus. Pour un usage normal, il est suffisant pour se protéger de menaces qui ont véritablement court (je ne plus qui ici balancé un lien sur un site de test d’anti-virus, au premier abord, Defender ne semblait pas terrible, mais en regardant les tests avec les malwares qui ont été retrouvé dans les dernier mois, il s’en sortait très bien).
Et de toutes façon, sur un Windows 64bit, EICAR serait aussi dangereux que sur Mac, c’est un binaire 16bit, impossible à exécuter donc. Il faudrait avoir un Windows 32 avec WOW (Windows on Windows) qui permet d’exécuter des programme 16bit.
Le 12/02/2017 à 20h34
Chromium, plus que Chrome. Si tu n’a pas besoin de flash, c’est mieux. J’ai pas confiance en Chrome, tu évites certes de chopper la chtouille mais je te te garantie pas l’installation de la soude espionne dans le tréfonds.
Le 13/02/2017 à 08h21
et tazvld Merci pour ce cours magistral
" />
" />
" /> ) me détecte un virus ainsi que la même chaîne copié 2 x à la queue-leu-leu dans un fichier .txt => .com (126 octets)
Je ne comprenais pas bien comment fonctionnait ce test (Wiki est faiblard). Ben, maintenant OUI
@psn00ps: 1 x la chaîne dans un fichier .txt => .com (68 octets) , Avast IS payant (et payé
Le 13/02/2017 à 08h25
Merci pour les explications
" />
" /> ) et je Ctrl C/V dans mes astuces que je collecte ici
" />
Je t’emprunte ta leçon (si tu le permet
NextInpact Powa !!
Le 13/02/2017 à 08h45
Bonne blague :p Merci pour ton avis, effectivement rien ne remplacera un peu de vigilance…
Le 13/02/2017 à 08h58
Ou sont les fanboys Apple qui garantie a tout le monde que y a pas de problème sur un Mac ? :popcorn:
Le 15/02/2017 à 06h37
Le 15/02/2017 à 07h00
Une de mes phrases de fin est passée à la trappe en éditant.
Quel est donc le vrai danger sur Mac : l’utilisateur ! Surtout la nouvelle génération, celle de la mode ;) C’est donc lui qu’il faudrait “supprimer”, mais pas sur que la pomme retienne cette solution, à moins d’avoir des machines totalement autonomes vis à vis de l’être humain (ce qui fait aussi un peu froid dans le dos) !