Close Menu
Actualité

Sécurité sur Mac : voici les malwares que votre système peut détecter et éliminer seul

Léon GalarneauBy Aucun commentaire4 Mins Read

Photo : AppleVous êtes-vous déjà demandé quels malwares macOS peut détecter et supprimer sans l’aide d’un logiciel tiers ? Apple ajoute en continu de nouvelles règles de détection de malware à la suite intégrée XProtect de Mac. Bien que la plupart des noms de règles (signatures) soient masqués, une petite ingénierie inverse permet aux chercheurs en sécurité de les associer à leurs noms courants dans l’industrie.

Dans cette édition de notre série consacrée à la sécurité sur Mac, nous revisitons un sujet amorcé en mai 2024. Comme Apple continue d’ajouter de nouveaux modules à sa suite XProtect pour combattre les dernières tendances en matière de malware, je prévois que cet article soit mis à jour régulièrement. Voici donc un aperçu des malwares que votre Mac peut détecter et supprimer tout seul :

XProtect et les règles Yara, qu’est-ce que c’est ?

XProtect a été introduit en 2009 avec macOS X 10.6 Snow Leopard pour détecter et alerter les utilisateurs de la présence de malware dans un fichier. Cependant, XProtect a récemment beaucoup évolué. Le retrait de l’outil de suppression de malware (MRT) en avril 2022 a permis l’émergence de XProtectRemediator (XPR), un composant anti-malware natif plus puissant, responsable de la détection et de la remédiation des menaces sur Mac.

La suite XProtect utilise une détection basée sur des signatures Yara pour identifier les malwares. Yara est un outil open-source largement adopté qui identifie les fichiers (y compris les malwares) selon des caractéristiques spécifiques et des motifs dans le code ou les métadonnées. Ce qui est intéressant avec les règles Yara, c’est que toute organisation ou individu peut créer et utiliser les leurs, y compris Apple.

Composantes de la suite XProtect

Depuis macOS 15 Sequoia, la suite XProtect se compose de trois composants principaux :

  • L’application XProtect peut détecter des malwares à l’aide des règles Yara à chaque lancement d’application, changement ou mise à jour de signatures.
  • XProtectRemediator (XPR) détecte et enlève des malwares par des analyses régulières en utilisant des règles Yara, minimisant ainsi l’impact sur le CPU.
  • Le dernier ajout, XProtectBehaviorService (XBS), surveille le comportement du système en rapport avec des ressources critiques.

Malheureusement, Apple utilise principalement des noms internes génériques dans XProtect qui masquent les noms communs des malwares. Bien que cela soit compréhensible, cela rend difficile pour les curieux de savoir exactement quels malwares XProtect peut identifier.

Où trouver XProtect sur votre Mac ?

XProtect est activé par défaut dans toutes les versions de macOS et fonctionne en arrière-plan sans intervention nécessaire. Les mises à jour de XProtect se font automatiquement. Voici où le trouver :

  1. Dans Macintosh HD, allez dans Bibliothèque > Apple > Système > Bibliothèque > CoreServices
  2. Cliquez avec le bouton droit sur XProtect et sélectionnez « Afficher le contenu du paquet »
  3. Développez le dossier Contenu
  4. Ouvrez MacOS

Note : Les utilisateurs ne devraient pas compter uniquement sur la suite XProtect d’Apple, car elle est conçue pour détecter les menaces connues. Des attaques plus avancées ou sophistiquées pourraient facilement contourner cette détection. L’utilisation de logiciels de détection et de suppression de malware tiers est donc fortement conseillée.

Quelles menaces peut-elle éliminer ?

Tandis que l’application XProtect peut détecter et bloquer des menaces, c’est grâce aux modules de scan de XPR que la suppression est possible. Actuellement, nous pouvons identifier 14 des 24 modules de remédiation dans la version actuelle (v151) de XPR qui maintiennent les malwares à distance de votre machine :

  • Adload : Loader d’adware touchant les utilisateurs de macOS depuis 2017, capable d’éviter la détection jusqu’à la mise à jour majeure de XProtect.
  • BadGacha : Non identifié pour le moment.
  • BlueTop : Semble être une campagne de Trojan-Proxy couverte par Kaspersky fin 2023.
  • Bundlore : Un nouveau module détectant des adwares courants.
  • CardboardCutout : Crée un « cutout » de malware pour le stopper avant son exécution.
  • ColdSnap : Recherchant le malware SimpleTea sur macOS.
  • Crapyrator : Campaign macOS.Bkdr.Activator, visant à infecter les utilisateurs.
  • DubRobber : Un dropper de Trojan également connu sous XCSSET.
  • Eicar : Un fichier inoffensif, conçu pour déclencher les scanners antivirus.
  • Genieo : Un programme potentiellement indésirable (PUP) très documenté.
  • Pirrit : Adware connu pour injecter des publicités pop-up.
  • SnowDrift : Spyware macOS identifié comme CloudMensis.
  • Trovi : Un autre hijacker cotinuant le style de Pirrit.

Merci de votre lecture ! Si vous avez des informations sur certains des modules non identifiés, n’hésitez pas à les partager en commentaires ou par email.

Share.

Rédacteur occasionnel sur AppSystem, je cultive une réelle passion pour les mangas, le tennis et l'univers Apple.

Related Posts

Leave A Reply