Tirant parti d'une technique Windows primitive reposant sur des macros exécutées automatiquement intégrées dans des documents Microsoft Word, un nouveau type d'attaque de logiciels malveillants Mac a été découvert récemment. Comme indiqué pour la première fois dans une recherche compilée par Objective-See, la technique utilisée peut être grossière, mais une fois qu'un utilisateur sans méfiance ouvre un document Word infecté et choisit d'exécuter les macros, le malware s'installe silencieusement sur le Mac cible et tente immédiatement de télécharger un charge utile dangereuse.
L'attaque a été découverte pour la première fois dans un fichier Word intitulé «U.S. Allies and Rivals Digest Trump's Victory - Carnegie Endowment for International Peace. »
Après avoir ouvert un document infecté dans Word pour Mac et cliqué Activer les macros dans la boîte de dialogue, la macro intégrée fait les choses suivantes:
- Vérifie que le pare-feu de sécurité LittleSnitch ne fonctionne pas.
- Télécharge une charge utile de deuxième étape chiffrée.
- Décrypte la charge utile à l'aide d'une clé codée en dur.
- Exécute la charge utile.
Une fois installée, la charge utile pourrait potentiellement enregistrer vos frappes, surveiller la caméra et le presse-papiers du système, prendre des captures d'écran, accéder à iMessage, récupérer votre historique de navigation et plus encore. Il s'exécute également automatiquement après un redémarrage.
Heureusement, le fichier de charge utile à distance a depuis été supprimé du serveur.
Bien que dangereux, ce n'est pas une forme d'attaque particulièrement avancée.
Vous pouvez vous protéger contre ce type d'attaques en vous assurant de cliquer sur Désactiver les macros lors de l'ouverture d'un document Word suspect. Compte tenu de la prévalence des logiciels malveillants basés sur des macros sous Windows, il n'est pas étonnant que Microsoft ait inclus un avertissement clair sur les virus dans la boîte de dialogue de Word..
Source: Objective-See via Ars Technica