DazzleSpy le malware qui cible les Mac pour espionner, Réactions à la publication du 27/01/2022

[Lionel]

DazzleSpy est un malware ciblant spécifiquement les Mac. Il permet d'attaquer les machines ciblées et une fois installé de capturer les données rentrées sur le clavier, de prendre des captures d'écran, de faire une écoute à partir du micro intégré, de récupérer des fichiers stockés sur les machines…
Tout porte à croire qu'il a été développé afin de surveiller de très près les activistes pro-démocratie à Hong Kong.
Il s'agit en effet d'un gros logiciel malveillant, plus de 1000 lignes de codes. Il utilise plusieurs failles de sécurité pour s'installer (à partir d'une URL malveillante), provoquer une escalade de privilèges (jusqu'au root) et ainsi développer en toute discrétion sa colossale capacité de nuisance.

Pour en savoir plus en détail:
https://www.welivesecurity.com/2022/01/25/watering...


Cela nous montre une fois de plus qu'aucune société, aussi bien intentionnée qu'elle soit, ne peut nous garantir une sécurité absolue de nos données. C'est un mensonge et seuls les plus crédules peuvent y croire.

Lien vers le billet original

[DOMY]

DazzleSpy, un malware qui espionne les utilisateurs MacOS©
http://www.presseagence.fr/lettre-economiq...isateurs-macos/

Apparemment, Malwarebytes ne le connait pas encore ....

[VSD]

"Il utilise plusieurs failles de sécurités pour s'installer"
Cela veut surtout dire que l"Os Mac et aussi bien fait que le système Pc ?
C'est vrai aussi que ce n'est plus du tout aussi fiable que ce que c'était avant !

[DiarOne]

"Il utilise plusieurs failles de sécurités pour s'installer"
Cela veut surtout dire que l"Os Mac et aussi bien fait que le système Pc ?
C'est vrai aussi que ce n'est plus du tout aussi fiable que ce que c'était avant !

Disons qu'avant nous étions moins nombreux, donc bien moins ciblés.
De la à dire qu'avant Mac OS était plus fiable...

[Lionel]

"Il utilise plusieurs failles de sécurités pour s'installer"
Cela veut surtout dire que l"Os Mac et aussi bien fait que le système Pc ?
C'est vrai aussi que ce n'est plus du tout aussi fiable que ce que c'était avant !

Disons qu'avant nous étions moins nombreux, donc bien moins ciblés.
De la à dire qu'avant Mac OS était plus fiable...

Exactement. Auparavant le Mac était quantité négligeable, maintenant il est ciblé en priorité car ses utilisateurs (comme pour l'iPhone) sont plus bankables.
Si l'on rajoute à cela les promesses de sécurité d'Apple...

[Laszlo Lebrun]

...maintenant il est ciblé en priorité car ses utilisateurs (comme pour l'iPhone) sont plus bankables...

Pas sûr que ce soit la priorité.
On a affaire à des logiciels ayant la possibilité de passer outre a des clés de chiffrage.
Il y a des gouvernements avec de GROS moyens derrière celà.

Le but c'est d'espionner.
a ) les opposants
b ) les personnes détenant des informations stratégiques.

Le Pékin moyen ne les interesse pas.

Ce message a été modifié par Laszlo Lebrun - 27 Jan 2022, 18:19.

[DiarOne]

...maintenant il est ciblé en priorité car ses utilisateurs (comme pour l'iPhone) sont plus bankables...

Pas sûr que ce soit la priorité.
On a affaire à des logiciels ayant la possibilité de passer outre a des clés de chiffrage.
Il y a des gouvernements avec de GROS moyens derrière celà.

Le but c'est d'espionner.
a ) les opposants
b ) les personnes détenant des informations stratégiques.

Le Pékin moyen ne les interesse pas.

Je pense que Lionel parlait de manière générale, ce qui était le cas de mon commentaire auquel il répondait.

[Laszlo Lebrun]

DazzleSpy est un malware ciblant spécifiquement les Mac.

Règle n°1 ne pas cliquer n'importe quoi
Règle n°2 ne pas avoir la config de Mr-tout-le-monde
Règle n°3 ne pas cliquer n'importe quoi

[VSD]

Effectivement tu as raison !
Ne pas cliquer n'importe où et sur n'importe quoi !

[DOMY]

Règle n°1 ne pas cliquer n'importe quoi
Règle n°2 ne pas avoir la config de Mr-tout-le-monde
Règle n°3 ne pas cliquer n'importe quoi

C'était vrai, mais maintenant des malwares types PEGASUS peuvent s'installer sur ton matériel avec " zéro clic "
et là c'est inquiétant !

par radiocommunication : depuis mai 2018, NSO recourt à des techniques dites « zero click » qui installent Pegasus sans action de l'utilisateur

https://fr.wikipedia.org/wiki/Pegasus_(logiciel_espion)

Etre prudent, ne suffit plus, hélas !

Ce message a été modifié par DOMY - 27 Jan 2022, 19:50.

[Laszlo Lebrun]

Règle n°1 ne pas cliquer n'importe quoi
Règle n°2 ne pas avoir la config de Mr-tout-le-monde
Règle n°3 ne pas cliquer n'importe quoi

C'était vrai, mais maintenant des malwares types PEGASUS peuvent s'installer sur ton matériel avec " zéro clic "
et là c'est inquiétant !

par radiocommunication : depuis mai 2018, NSO recourt à des techniques dites « zero click » qui installent Pegasus sans action de l'utilisateur

https://fr.wikipedia.org/wiki/Pegasus_(logiciel_espion)

Etre prudent, ne suffit plus, hélas !

Bon on a la chance de vivre dans une démocratie, et sauf à être une cible politique, on a peu de risque de se faire offrir un logiciel de ce prix.

[chevy]

Règle n°1 ne pas cliquer n'importe quoi
Règle n°2 ne pas avoir la config de Mr-tout-le-monde
Règle n°3 ne pas cliquer n'importe quoi

C'était vrai, mais maintenant des malwares types PEGASUS peuvent s'installer sur ton matériel avec " zéro clic "
et là c'est inquiétant !

par radiocommunication : depuis mai 2018, NSO recourt à des techniques dites « zero click » qui installent Pegasus sans action de l'utilisateur

https://fr.wikipedia.org/wiki/Pegasus_(logiciel_espion)

Etre prudent, ne suffit plus, hélas !

Bon on a la chance de vivre dans une démocratie, et sauf à être une cible politique, on a peu de risque de se faire offrir un logiciel de ce prix.

Ça peut dépendre de la photo de profil utilisée, certaines ont tendance à exciter certains gouvernements.

[ungars]

...maintenant il est ciblé en priorité car ses utilisateurs (comme pour l'iPhone) sont plus bankables...

Pas sûr que ce soit la priorité.
On a affaire à des logiciels ayant la possibilité de passer outre a des clés de chiffrage.
Il y a des gouvernements avec de GROS moyens derrière celà.

Le but c'est d'espionner.
a ) les opposants
b ) les personnes détenant des informations stratégiques.

Le Pékin moyen ne les interesse pas.

AHAHAHAH ! Elle est bien bonne !!!

Sinon, là aussi c'est pas mal :
https://portswigger.net/daily-swig/apple-pa...online-accounts

[teac68]

Le Pékin moyen ne les interesse pas.

Puis un pékin moyen tombe sur le code et d'un coup tous les pékins moyens deviennent des cibles

[Laszlo Lebrun]

[quote name='teac68' date='28 Jan 2022, 09:39' post='4401926']
Puis un pékin moyen tombe sur le code...
[quote]

Les solutions du type DazzleSpy ou Pegasus nécessitent des infrastructures extrêmement lourdes en backstage.
C'est pas quelques lignes de code, qu'on compile dans sa chambe à coucher.

[charrelu]

Et du coup, on voit sur le lien de la source que c'est un article du Blog de ESET (editeur d'antivirus).
Est ce que vous savez si ESET protege de ce genre de malware ?

Merci !

Ce message a été modifié par charrelu - 28 Jan 2022, 10:50.

[linus]

...maintenant il est ciblé en priorité car ses utilisateurs (comme pour l'iPhone) sont plus bankables...

Pas sûr que ce soit la priorité.
On a affaire à des logiciels ayant la possibilité de passer outre a des clés de chiffrage.
Il y a des gouvernements avec de GROS moyens derrière celà.

Le but c'est d'espionner.
a ) les opposants
b ) les personnes détenant des informations stratégiques.

Le Pékin moyen ne les interesse pas.

Comme déjà dit ici, sans être cru, j'assisté à des exposés de mathématiciens chercheurs en algorithmes de chiffrement qui ont expliqué que, contrairement au discours officiel, les chiffrements actuels ne sont très solides. Il suffit d'avoir le savoir-faire.

[Laszlo Lebrun]

Comme déjà dit ici, sans être cru, j'assisté à des exposés de mathématiciens chercheurs en algorithmes de chiffrement qui ont expliqué que, contrairement au discours officiel, les chiffrements actuels ne sont très solides. Il suffit d'avoir le savoir-faire.

Tu dis que les algorithmes de chiffrement sont cuits et tu voudrais qu'un te crût?

[PierreH]

Plus de 1000 lignes de code, ça ressemble pas à un truc sorti d'une agence gouvernementale. Et oui les pékins moyens ça les intéresse, car le pékin moyen n'a pas de backup donc il paiera le ransomware...

[iAPX]

Plus de 1000 lignes de code, ça ressemble pas à un truc sorti d'une agence gouvernementale. Et oui les pékins moyens ça les intéresse, car le pékin moyen n'a pas de backup donc il paiera le ransomware...

Effectivement c'est le cœur de marché pour ce type d'attaque, en visant des paiements accessibles (genre 99€ ou $99) sur des millions d'utilisateurs.

Le problème c'est que Mme Michu ou M. Toutlemonde ne sauront pas gérer les étapes leur permettant de payer la rançon en cryptomonnaie, et qu'aucun acteur n'acceptera d'agir en intermédiaire pour du paiement simplifié (lien fourni -> saisie de carte bancaire en ligne -> achat auto avec transfert sur le wallet de destination) et que si ils ne bloquaient pas ce type d'usage ça seraient les intermédiaires de paiement qui les éjecteraient sous la pression des groupes gérant les cartes.

C'est donc à la fois la complexité d'usage des cryptomonnaies, mais aussi le système bancaire existant, qui protègent ce type d'usage. Pour l'instant.

[broitman]

"Il utilise plusieurs failles de sécurités pour s'installer"
Cela veut surtout dire que l"Os Mac et aussi bien fait que le système Pc ?
C'est vrai aussi que ce n'est plus du tout aussi fiable que ce que c'était avant !

Disons qu'avant nous étions moins nombreux, donc bien moins ciblés.
De la à dire qu'avant Mac OS était plus fiable...

Exactement. Auparavant le Mac était quantité négligeable, maintenant il est ciblé en priorité car ses utilisateurs (comme pour l'iPhone) sont plus bankables.
Si l'on rajoute à cela les promesses de sécurité d'Apple...

C'est grace a sa publicite concernant son inviolabilite que APPLE (2016) a ecreme le marche des "democrates" à HongKong, avant que Tim Cook ne cede aux Chinois ( 2019) le backdoor et l'hergement de ses terminaux sur les serveurs de Chine

[linus]

Plus de 1000 lignes de code, ça ressemble pas à un truc sorti d'une agence gouvernementale. Et oui les pékins moyens ça les intéresse, car le pékin moyen n'a pas de backup donc il paiera le ransomware...

Sauf erreur, "car le pékin moyen n'a pas de backup donc il paiera le ransomware..." ceci laisse croire à tort qu'un backup protège. C'est faux. J'ai déjà dit ici que l'entreprise où je travaille a été victime d'un ransomware qui avait crypté toutes les données mais aussi toutes celles des backups automatiques sur une période assez longue pour que le coût des données perdues excède largement la rançon demandée.
Autrement dit pour le pékin moyen ou supérieur, si le ransomware est assez patient pour crypter son TimeMachine et son éventuel C.C.C. de sécurité, le pékin moyen ou supérieur sera bien embêté !!!,

Ce message a été modifié par linus - 28 Jan 2022, 23:56.

[iAPX]

Plus de 1000 lignes de code, ça ressemble pas à un truc sorti d'une agence gouvernementale. Et oui les pékins moyens ça les intéresse, car le pékin moyen n'a pas de backup donc il paiera le ransomware...

Sauf erreur, "car le pékin moyen n'a pas de backup donc il paiera le ransomware..." ceci laisse croire à tort qu'un backup protège. C'est faux. J'ai déjà dit ici que l'entreprise où je travaille a été victime d'un ransomware qui avait crypté toutes les données mais aussi toutes celles des backups automatiques sur une période assez longue pour que le coût des données perdues excède largement la rançon demandée.
Autrement dit pour le pékin moyen ou supérieur, si le ransomware est assez patient pour crypter son TimeMachine et son éventuel C.C.C. de sécurité, le pékin moyen ou supérieur sera bien embêté !!!,

Ceux qui ne vérifient pas leurs sauvegardes et ne les protègent pas ne sont pas des professionnels. Point barre.

Chacun sa merde, mais ça ne m'arrivera pas chez moi et encore moins au sein de mon travail où les sauvegardes sont chiffrées asymétriquement (illisible sauf lors d'une opération de vérification ou restauration) et surtout sont sur une structure séparée d'un autre fournisseur sans aucun droit de modification ou d'effacement de celles-ci.

Ce message a été modifié par iAPX - 29 Jan 2022, 00:00.

[Laszlo Lebrun]

--- l'entreprise où je travaille a été victime d'un ransomware qui avait crypté toutes les données mais aussi toutes celles des backups automatiques sur une période assez longue pour que le coût des données perdues excède largement la rançon demandée.

Ca veut dire que le malware a crypté les données tout en décryptant d'une facon transparente pour les admins sans qu'ils s'en rendent compte pendant des semaines?

Ce message a été modifié par Laszlo Lebrun - 29 Jan 2022, 05:17.

[zero]

DazzleSpy est un malware ciblant spécifiquement les Mac.

Règle n°1 ne pas cliquer n'importe quoi
Règle n°2 ne pas avoir la config de Mr-tout-le-monde
Règle n°3 ne pas cliquer n'importe quoi

Règle avant ces règles: Ne pas se croire sur un système mieux protégé que les autres.

Bon on a la chance de vivre dans une démocratie, et sauf à être une cible politique, on a peu de risque de se faire offrir un logiciel de ce prix.

Tu crois vraiment que personne va essayer de le revendre (ou un dérivé) sur la face caché du web? Surtout qu'il y a plein de Mac vulnérables puisque Apple propose des mises à jour de sécurité que pour les dernières versions de son système.

Ce message a été modifié par zero - 29 Jan 2022, 07:43.

[Laszlo Lebrun]

Tu crois vraiment que personne va essayer de le revendre (ou un dérivé) sur la face caché du web? Surtout qu'il y a plein de Mac vulnérables puisque Apple propose des mises à jour de sécurité que pour les dernières versions de son système.

Je ne me suis pas exprimé clairement. Par de "se faire offrir un logiciel de ce prix" je voulais dire "se voir installer à son insu". Les clients de NSO paient un max pour chaque installation et NSO n'est pas prêt de dévoiler ses secrets.

Ce message a été modifié par Laszlo Lebrun - 29 Jan 2022, 08:58.

[linus]

Plus de 1000 lignes de code, ça ressemble pas à un truc sorti d'une agence gouvernementale. Et oui les pékins moyens ça les intéresse, car le pékin moyen n'a pas de backup donc il paiera le ransomware...

Sauf erreur, "car le pékin moyen n'a pas de backup donc il paiera le ransomware..." ceci laisse croire à tort qu'un backup protège. C'est faux. J'ai déjà dit ici que l'entreprise où je travaille a été victime d'un ransomware qui avait crypté toutes les données mais aussi toutes celles des backups automatiques sur une période assez longue pour que le coût des données perdues excède largement la rançon demandée.
Autrement dit pour le pékin moyen ou supérieur, si le ransomware est assez patient pour crypter son TimeMachine et son éventuel C.C.C. de sécurité, le pékin moyen ou supérieur sera bien embêté !!!,

Ceux qui ne vérifient pas leurs sauvegardes et ne les protègent pas ne sont pas des professionnels. Point barre.

Chacun sa merde, mais ça ne m'arrivera pas chez moi et encore moins au sein de mon travail où les sauvegardes sont chiffrées asymétriquement (illisible sauf lors d'une opération de vérification ou restauration) et surtout sont sur une structure séparée d'un autre fournisseur sans aucun droit de modification ou d'effacement de celles-ci.

Ne t'énerve pas iAPX. Je n'ai pas dit que mes collègues ont tout bien fait, je réagissais juste à la remarque de PierreH qui laissait supposer qu'avoir un backup protègerait le pékin moyen d'un ransomware. Je notais simplement que ce n'est pas aussi simple que cela car sinon les ransomware n'auraient pas un tel succès.

Même réponse pour Laszlo Lebrun, un admin pointilleux et hyper concerné comme iAPX aurait surement vu le problème mais, si on en revient au pékin moyen, quel pékin moyen s'amuse à surveiller l'intégrité de ses backups (s'il sait faire) ... c'est déjà bien quand backup il y a, non ?
Vous êtes tous très, très, très forts en informatique et très, très bien protégés, mais moi je ne saurais pas faire.

[Laszlo Lebrun]

Même réponse pour Laszlo Lebrun, un admin pointilleux et hyper concerné comme iAPX aurait surement vu le problème mais, si on en revient au pékin moyen, quel pékin moyen s'amuse à surveiller l'intégrité de ses backups (s'il sait faire) ... c'est déjà bien quand backup il y a, non ??

Ce que je voulais dire c'est que pour qu'un rançongiciel infecte les backups sur plusieurs semaines, il faudrait que les documents soient chiffrés **et décodés** de facon tellement transparente que personne ne s'en rende compte.

À ma connaissance la plupart de ces malwares se déclanchent pendant les week ends et les ponts de façon à chiffrer un max de documents avant que le personnel ne revienne au bureau.
Naturellement il ne faut pas que le malware ait **aussi** infecté le logiciel de back up...
Time Machine n'est surement pas une solution assez robuste.

Ce message a été modifié par Laszlo Lebrun - 29 Jan 2022, 13:39.

[iAPX]

...
Time Machine n'est surement pas une solution assez robuste.

TimeMachine ne l'est pas si utilisé tout seul ou uniquement, notamment car exploitant un média qu'il a la possibilité de modifier, donc comme quasiment tout logiciel utilisant un support physique "dumb".

La sécurité des sauvegardes doit être faite du coté des sauvegardes et non du coté du sauvegardé: les droits doivent donc être géré par les dispositifs de sauvegardes et très limités, notablement ne pas autoriser l'effacement ou la modification de fichiers sauvegardés dans le cas de versioning explicite.

Alternativement sur nos Mac il y a la possibilité de sauvegarder une image des données SANS que macOS soit vraiment lancé, donc sans possibilité pour un malware d'accéder/modifier/effacer le support qui est alors connecté (on ne doit JAMAIS le connecter macOS lancé!) de deux façons différentes, via l'utilitaire disque en Recovery mode ainsi que via le mode Target.

Pour ma part je recommande l'usage de TimeMachine comme sauvegarde principale versionnée, qui permet donc aussi de retrouver des fichiers effacés ou d'anciennes versions de fichiers modifiés, un grand confort et c'est inclus de base ne nécessitant qu'un gros disque dur externe (j'ai 4To externe pour 512 Go interne, des années de sauvegarde!).
En filet de sécurité, je recommande de faire des images régulières des données via l'utilitaire disque en Recovery Mode sur un autre disque, donc là aussi plusieurs sauvegardes disponibles.
Et pour les Pros: vérifier ce qui a été sauvegardé (sanity test), vérifier l'accès au contenu des fichiers (eh oui, certains ne le sont plus!), et créez immédiatement puis vérifiez régulièrement la signature des fichiers (contre la corruption mais aussi permet d'identifier les fichiers modifiés).

Ça vient de mon expérience, notamment la vérification de la corruption des données et de l'accès réel aux contenus des fichiers, car m'apercevaant sur un site de File Sharing que nos belles cartes RAID mais aussi des systèmes ISILON coûtant la peau du cul laissaient des données être corrompues silencieusement voir des fichiers devenir inaccessible là aussi sans aucune alerte.
Ne faites confiance ni aux supports physiques (disques durs, ssd, clés USB), ni aux matériels quelconque (cartes RAID, NAS, etc.) ni à leurs logiciels.

PS: je fais tout ça, et plus puisque mes images disques de données sont dupliquées (et celles-ci généralement off-site) et j'ai aussi une sauvegarde de données essentielles chiffrée localement et mis dans un cloud versionné.

Ce message a été modifié par iAPX - 29 Jan 2022, 14:37.

[Laszlo Lebrun]

...
Ne faites confiance ni aux supports physiques (disques durs, ssd, clés USB), ni aux matériels quelconque (cartes RAID, NAS, etc.) ni à leurs logiciels.

PS: je fais tout ça, et plus puisque mes images disques de données sont dupliquées (et celles-ci généralement off-site) et j'ai aussi une sauvegarde de données essentielles chiffrée localement et mis dans un cloud versionné.

Pour ma part j'ai encore ma bonne vieille methode des années 90.
Dix disques mécaniques USB WD-Passport, achetés pour une bouchée de pain:
1: lundi au 7: dimanche, 8: semaine -1 à 10: semaine -3.
Ils ne sont connectés que quand je fais une sauvegarde ou travaille sur de gros documents ou je veux le versionnage.
Si un disque lâche, j'ai les 9 autres...
Bon je ne suis plus un pro et j'ai du temps de faire ça à la main.