MacDownloader – Un groupe de pirates informatiques Iraniens utiliseraient un logiciel spécialisé dans le vol de données sauvegardées dans les appareils d’Apple.
Un groupe d’espions informatiques, il serait lié à l’Iran [Iran Cyber Security Group ?], utiliserait un logiciel nommé MacDownloader. Le programme malveillant réussirait à voler les informations d’identification et d’autres données sauvegardées dans les appareils Apple. Le malware a été analysé par Claudio Guarnieri et Collin Anderson, deux chercheurs spécialisés dans les campagnes iraniennes de surveillance et d’espionnage visant les droits de l’homme, la politique étrangère et les entités de la société civile.
MacDownloader a été déguisé par les attaquants comme une mise à jour de Flash Player et un outil de suppression d’adware de l’éditeur d’antivirus Bitdefender. L’outil aurait été créé vers la fin de 2016. Une grande partie du code a été copiée à partir d’autres sources et les experts pensent que cela pourrait être une première tentative mise en place par des développeurs amateurs.
Lorsque Guarnieri et Anderson ont effectué leur analyse, le logiciel malveillant était totalement inconnu par les antivirus [plus d’une trentaine, NDR] proposés sur VirusTotal. Depuis quelques jours, une douzaine de fournisseurs ont signalé les fausses applications Flash Player (15/53) et Bitdefender (11/53) comme étant malveillantes. MacDownloader a été découvert, la première fois, sur un faux site Web aux couleurs de la société aérospatiale United Technologies Corporation. Un espace connu pour avoir déjà diffusé, l’année dernière, des logiciels malveillants visant des ordinateurs sous Windows.
Ce malware macOS est lié à Charming Kitten, alias Newscaster et NewsBeef, une menace iranienne connu pour la création de faux comptes sur les réseaux sociaux. Son but, récolter des informations auprès de personnes ciblées aux États-Unis, Israël ou encore en Irak.
Une fois que MacDownloader infecte un périphérique, le malware récolte des informations sur le système, y compris les processus et les applications, et collecte les mots de passe stockés. Le malware Windows utilisé par le groupe est similaire, collectant les informations d’identification et l’historique du navigateur enregistrés depuis Chrome et Firefox. Bien que son code montre que les développeurs de MacDownloader ont tenté d’implémenter des fonctionnalités de mise à jour et de persistance à distance, ces mécanismes ne semblent pas être fonctionnels.
