Les utilisateurs d'ordinateurs Apple entendent de plus en plus souvent dire que macOS figure parmi les systèmes d'exploitation les plus sécurisés du marché. Cependant, les dernières conclusions de Microsoft montrent que même la prudence et les mesures de sécurité modernes peuvent s'avérer insuffisantes face à des manipulations particulièrement convaincantes de la part des cybercriminels. Les spécialistes de Microsoft en matière de veille sur les menaces ont décrit une nouvelle campagne ciblant les utilisateurs de Mac. Les attaquants se font passer pour des recruteurs, invitent leurs victimes à des entretiens d'embauche en ligne, puis s'emparent de leurs mots de passe, de leurs données personnelles et de leurs portefeuilles de cryptomonnaies. D'après une description publiée par Microsoft, des cybercriminels ont créé des profils de recruteurs d'apparence professionnelle. Ils ont contacté des victimes potentielles en ligne, leur ont présenté des offres d'emploi attrayantes et leur ont proposé une brève rencontre en ligne. L'entretien devait se dérouler via Zoom. Au cours de l'appel, le candidat a été informé qu'il devait installer une mise à jour du logiciel pour pouvoir participer à la réunion. Le fichier qui lui a été envoyé portait le nom d'un composant officiel de la plateforme. À l'écran, tout paraissait crédible. Pour beaucoup, il n'y avait aucun signe avant-coureur.

Le fichier s'est ouvert comme un script système sous macOS. Au premier abord, il ressemblait à un fichier technique standard. Ce n'est qu'au cœur du code qu'un fragment malveillant était dissimulé, déclenchant les étapes suivantes de l'attaque. Après approbation de l'utilisateur, le système a téléchargé des composants supplémentaires. Une application se faisant passer pour un utilitaire de mise à jour système s'est alors lancée. La fenêtre demandant un mot de passe administrateur était quasiment identique au message original de macOS. La victime a saisi son mot de passe, croyant effectuer une opération de routine. En réalité, ses identifiants de connexion ont été directement transmis aux pirates. Les cybercriminels recherchaient bien plus que de simples mots de passe. Une fois l'accès obtenu, le logiciel malveillant a lancé une analyse approfondie de l'ordinateur. Microsoft indique que les attaquants s'intéressaient à bien plus que de simples identifiants de connexion. Le logiciel malveillant a analysé les données de navigation enregistrées, l'historique des sessions de messagerie instantanée, le contenu du trousseau macOS, les clés SSH enregistrées et les notes de l'utilisateur. Une attention particulière a été portée aux applications de stockage de cryptomonnaies.

Après avoir détecté la campagne, Microsoft a partagé les détails avec Apple. Le fabricant d'iPhone et de Mac aurait rapidement renforcé les mécanismes de protection de macOS et du navigateur Safari. Parallèlement, Microsoft a mis à jour son système de sécurité Defender afin d'identifier la nouvelle menace et de bloquer toute tentative d'infection ultérieure. Les experts soulignent que cette attaque est particulièrement dangereuse pour une raison : elle n’exploite pas une vulnérabilité technique classique. Elle repose sur la confiance, la précipitation et le stress inhérent à un entretien d’embauche. Une personne concentrée sur sa rencontre avec un employeur potentiel est bien moins susceptible d’analyser chaque message système. C’est précisément ce moment que les cybercriminels ont exploité avec le plus d’efficacité. Cette fois-ci, ils ont ciblé les utilisateurs d’ordinateurs Apple, mais le même mécanisme pourrait être reproduit sur d’autres plateformes.