Sommaire
Une nouvelle attaque en moins d’un mois
Pour la seconde fois en un mois, Google Ads est utilisé pour diffuser des malwares sur les ordinateurs Mac. Cette fois-ci, une fausse version de Microsoft Teams est employée pour propager Atomic Stealer.
Malgré la réputation de sécurité de macOS, Malwarebytes a prouvé une nouvelle fois que ce système n’est pas infaillible.
Trois semaines après la découverte de fausses annonces pour Arc Browser, des chercheurs ont identifié une nouvelle campagne de malvertising ciblant les utilisateurs de Mac. L’application ciblée cette fois-ci ? Microsoft Teams, qui est devenue une cible privilégiée parmi les cybermenaces.
Une publicité trompeuse
La fausse publicité pour Teams était si bien conçue qu’elle a opéré discrètement pendant plusieurs jours avant d’être détectée. En tête des résultats de recherche, le lien sponsorisé semblait légitime avec un titre correct, une description pertinente, et une URL officielle.
Cependant, après investigation, les équipes de Malwarebytes ont découvert que l’annonceur réel n’avait aucun lien avec Microsoft. Basé à Hong Kong, cet administrateur gérait des centaines d’autres annonces sans rapport avec Teams, ce qui a éveillé les soupçons des chercheurs sur des activités malveillantes.
La filouterie a été confirmée par une analyse réseau. Les cyberattaquants utilisaient des techniques de redirection dissimulée pour lier l’URL initiale à une page de téléchargement corrompue. Les victimes atterrissaient sur une page crédible mais différente, contenant un bouton de téléchargement pour Teams. Ce téléchargement générait un payload unique pour chaque visiteur.
Le mode opératoire du malware
Le fichier malveillant téléchargé ressemblait à un DMG officiel. Seul indice pour les utilisateurs avertis : la nécessité de l’installer via le menu du clic droit pour contourner les mesures de sécurité d’Apple. L’installation demandait le mot de passe utilisateur et une autorisation d’accès au système de fichiers, ce qui semblait normal pour une nouvelle application macOS mais permettait à Atomic Stealer de voler des informations sensibles.
Une fois le processus terminé, l’application plantait, obligeant l’utilisateur à télécharger une version légitime de Teams. Entre-temps, le malware créait une backdoor et exfiltrait des données vers un serveur distant.
Conseils de sécurité
Comment éviter ces pièges sophistiqués ? Premièrement, ne téléchargez jamais d’applications directement depuis les résultats de recherche, surtout via des liens sponsorisés. Les logiciels comme Teams sont disponibles sur l’App Store, la plateforme la plus sécurisée pour les appareils Apple.
Ensuite, installez des bloqueurs de publicités et de contenus malveillants sur votre navigateur (Safari ou autres) pour empêcher la diffusion d’annonces frauduleuses.
Enfin, si vous pensez avoir été victime de ce piège, effectuez une analyse complète avec un bon antivirus pour éliminer rapidement Atomic Stealer.