La sécurité des utilisateurs macOS est-elle un mythe ? Beaucoup pensent que leur système est immunisé contre les malwares, ce qui les pousse à négliger des mesures de sécurité essentielles. Pourtant, la réalité est tout autre. Avec l’évolution rapide des cybermenaces, macOS est devenu une cible de choix pour les cybercriminels. L’une des menaces les plus récentes et sophistiquées est le malware Banshee, qui prouve que même les systèmes d’exploitation réputés sûrs ne sont pas épargnés.
Dans ce blog, nous allons explorer en détail ce qu’est Banshee, comment il se propage, et pourquoi les utilisateurs de macOS doivent redoubler de vigilance.
Qu’est-ce que Banshee ?
Banshee est un infostealer sophistiqué, un type de malware spécialement conçu pour collecter des informations sensibles sur les appareils infectés. Un infostealer est un logiciel malveillant dont l’objectif principal est d’exfiltrer des données personnelles ou sensibles, telles que des identifiants de connexion, des informations financières ou des données stockées dans les navigateurs. Contrairement aux virus traditionnels, Banshee ne se contente pas de perturber le fonctionnement de votre système. Il cible des données précieuses, notamment celles liées aux cryptomonnaies, à la blockchain et à des informations d’identification sensibles.
Ce malware est capable de :
-
Voler des identifiants et des mots de passe enregistrés dans des navigateurs populaires tels que Google Chrome, Brave, Microsoft Edge, Vivaldi, Yandex Browser et Opera.
-
Extraire des informations des extensions de navigateurs, ciblant plus de 50 extensions, principalement des portefeuilles de cryptomonnaies comme Coinbase Wallet, MetaMask, Trust Wallet, Guarda, Exodus et Nami.
-
Intercepter des jetons de MFA stockés dans des extensions comme Authenticator.cc.
-
Analyser et extraire des données des applications de portefeuilles de cryptomonnaies (Exodus, Electrum, Coinomi, Guarda, Wasabi, Atomic, Ledger), augmentant ainsi les risques de pertes financières.
-
Collecter des informations système sensibles, y compris des détails sur la configuration de l’appareil, et dérober des mots de passe macOS à l’aide de fausses fenêtres de connexion conçues pour tromper l’utilisateur.
Banshee compile toutes ces données dans une archive ZIP chiffrée à l’aide d’un simple algorithme XOR, puis les envoie à un serveur de commande et de contrôle (C2) contrôlé par les cybercriminels. Ce qui le rend encore plus dangereux, c’est sa capacité à contourner l’antivirus intégré de macOS, XProtect. Il y parvient en chiffrant des segments clés de son code et en les déchiffrant dynamiquement lors de son exécution, échappant ainsi à la détection.
Comment Banshee se propage-t-il ?
Les opérateurs de Banshee utilisent principalement des plateformes comme GitHub pour diffuser leur malware. Ils y publient des versions piratées de logiciels coûteux tels que :
-
Autodesk AutoCAD
-
Adobe Acrobat Pro et Premiere Pro
-
Capture One Pro
-
Blackmagic Design DaVinci Resolve
Les créateurs de Banshee ont utilisé GitHub pour propager le malware sous le couvert de logiciels piratés. (source : Check Point Research )
Une autre méthode courante est le phishing, avec des sites frauduleux proposant des applications comme « Telegram Local », censées protéger contre le phishing, mais qui contiennent en réalité des logiciels malveillants. Fait intéressant : ces sites malveillants ciblent uniquement les utilisateurs macOS, rendant l’attaque encore plus spécifique.
Site de phishing ciblant macOS (à gauche) et Windows (à droite) (source : Check Point Research )
L’évolution de Banshee
Un site de hackers annonce une réduction sur Banshee : 1500 $ au lieu de 3000 $ par mois (source : Check Point Research )
Apparu en juillet 2024, Banshee était initialement vendu sous forme d’abonnement Malware-as-a-Service (MaaS) à 3000 $ par mois, avant de baisser à 1500 $. Les créateurs ont ensuite tenté de recruter des partenaires pour des campagnes conjointes, partageant les gains à 50/50.
Cependant, en novembre 2024, le code source de Banshee a fuité, mettant fin à son modèle commercial. Depuis, il est disponible gratuitement sur des forums de hackers, permettant aux cybercriminels de créer des versions modifiées plus dangereuses. Par exemple, les versions originales cessaient de fonctionner sur les systèmes en langue russe, mais cette restriction a été supprimée dans les versions récentes.
Pourquoi macOS est-il ciblé ?
-
Confiance excessive des utilisateurs, pensant que macOS est invulnérable.
-
Valeur des données stockées, notamment financières et professionnelles.
-
Moins d’outils de sécurité dédiés par rapport à Windows.
-
Popularité croissante de macOS dans les environnements professionnels et personnels.
Comment se protéger de Banshee et des autres menaces?
Voici une élaboration des points mentionnés :
-
Confiance excessive des utilisateurs : De nombreux utilisateurs macOS pensent que leur système est naturellement protégé contre les cyberattaques. Cette croyance repose sur la réputation de macOS en matière de sécurité, en grande partie grâce à ses fonctionnalités intégrées comme Gatekeeper et XProtect. Cependant, cette confiance excessive peut être dangereuse, car elle pousse les utilisateurs à négliger des pratiques essentielles de cybersécurité, telles que la mise à jour régulière des logiciels, l’installation d’antivirus spécialisés, ou la vigilance face aux tentatives de phishing. Les cybercriminels exploitent cette négligence pour cibler plus facilement ces utilisateurs.
-
Valeur des données stockées : Les utilisateurs de macOS sont souvent des professionnels (designers, développeurs, cadres) qui stockent des informations sensibles sur leurs appareils : données financières, documents d’entreprise, projets créatifs, voire des portefeuilles de cryptomonnaies. Ces données précieuses représentent un objectif lucratif pour les cybercriminels. En volant ces informations, ils peuvent soit les monnayer directement, soit les utiliser pour mener des attaques plus ciblées (extorsion, chantage, etc.).
-
Moins d’outils de sécurité dédiés : Comparé à Windows, macOS bénéficie de moins d’outils de sécurité tiers, car historiquement considéré comme moins vulnérable. Cela signifie que certaines menaces sophistiquées, comme Banshee, peuvent facilement contourner les protections natives de macOS. Les entreprises de cybersécurité concentrant souvent leurs efforts sur Windows, les malwares macOS sont parfois moins détectés, laissant les utilisateurs plus exposés aux nouvelles menaces.
-
Popularité croissante de macOS : La croissance continue des produits Apple dans les entreprises et chez les particuliers en fait une cible de plus en plus attrayante. Plus un système est populaire, plus il devient rentable pour les cybercriminels de développer des malwares qui l’affectent. Cette tendance est particulièrement visible dans les environnements professionnels où macOS est utilisé pour des tâches critiques, rendant les attaques potentielles plus impactantes.
Conclusion
Banshee est la preuve que macOS n’est pas à l’abri des cybermenaces. Pour protéger vos données, restez vigilant, évitez les logiciels douteux et adoptez de bonnes pratiques de cybersécurité. La prudence et la prévention restent vos meilleures défenses face à des menaces en constante évolution.