Les experts en cybersécurité de Kaspersky ont découvert une méthode sophistiquée utilisée par les pirates pour transmettre des logiciels malveillants voleurs d'informations aux utilisateurs de macOS.. Cette campagne insidieuse utilise une approche furtive, utiliser des enregistrements DNS pour dissimuler les scripts malveillants et cibler les utilisateurs de macOS Ventura et des versions ultérieures.
Applications macOS crackées générant des logiciels malveillants voleurs d'informations
L'attaque tourne autour de la distribution de applications crackées reconditionné sous forme de fichiers PKG, camoufler un troyen dans le logiciel apparemment inoffensif.
La méthodologie de l'attaque a été mise en lumière par des chercheurs de la société de cybersécurité Kaspersky., qui a disséqué les étapes de la chaîne d’infection. Les victimes participent involontairement à la campagne en téléchargeant et en exécutant le logiciel malveillant., guidés par des instructions d’installation qui les invitent à placer le fichier malveillant dans le /Applications/ dossier. Les attaquants exploitent les utilisateurs’ attentes, déguiser le malware en activateur de l'application crackée qu'ils ont initialement téléchargée.
Aperçu technique des attaques
Lors de l'exécution, une fenêtre d'activation trompeuse apparaît, stratégiquement conçu pour inciter les victimes à fournir leur mot de passe administrateur. Cette tactique trompeuse permet au malware d'obtenir des privilèges élevés, ouvrant la voie à un impact plus large et plus dommageable.
La sophistication de cette campagne réside dans son utilisation des enregistrements DNS pour masquer les scripts malveillants, échapper aux méthodes de détection traditionnelles et rendre difficile l’intervention des mesures de sécurité. Alors que les utilisateurs suivent des instructions d’installation apparemment anodines, le cheval de Troie prend discrètement pied sur le système de la victime, prêt à exercer ses capacités de vol d'informations.
Avec l'autorisation de l'utilisateur accordée, le malware lance son attaque en exécutant un « outil »’ exécutable (Mach-O) via l'option 'AuthorizationExecuteWithPrivileges’ fonction. Pour masquer davantage ses activités, le malware vérifie la présence de Python 3 sur le système et l'installe en cas d'absence, déguiser intelligemment l'ensemble du processus en bénin “correctifs d'application.”
Suite à cette initiation furtive, le malware établit le contact avec son commandement et son contrôle (C2) serveur, opérant sous le couvert trompeur de “pomme-santé[.]org.” L'objectif est de récupérer un script Python encodé en base64 depuis le serveur, capable d'exécuter des commandes arbitraires sur l'appareil compromis.
Communication avec le serveur C2
Les chercheurs ont également découvert une méthode intrigante utilisée par l'acteur malveillant pour communiquer avec le serveur C2.. Utiliser une combinaison de mots provenant de deux listes codées en dur et une séquence de cinq lettres générée aléatoirement, le malware construit un nom de domaine de troisième niveau, former une URL. Cette URL, lorsqu'il est utilisé pour faire une requête à un serveur DNS, cherche un enregistrement TXT pour le domaine, selon les conclusions des experts en cybersécurité de Kaspersky.
Cette méthode permet au malware de dissimuler efficacement ses activités néfastes au sein du trafic Web normal.. La charge utile du script Python, encodé sous forme d'enregistrements TXT, est téléchargé depuis le serveur DNS sans éveiller les soupçons, car ces demandes semblent typiques et inoffensives.
Fonctionner comme un téléchargeur, la tâche principale de ce script était de récupérer un deuxième script Python, servant de porte dérobée avec des capacités étendues. Une fois activé, le script de porte dérobée a collecté et transmis clandestinement des informations sensibles sur le système infecté, y compris la version OS, listes d'annuaire, les applications installées, Type de processeur, et adresse IP externe.
L'outil’ L'exécutable utilisé dans l'attaque a démontré une autre facette de la stratégie du malware en modifiant le fichier '/Library/LaunchAgents/launch.
Lors de leur examen, Les chercheurs de Kaspersky ont observé que le système de commande et de contrôle (C2) le serveur a systématiquement fourni des versions mises à niveau du script de porte dérobée, suggérant un développement en cours. Cependant, aucune exécution de commande n'a été observée, laissant place à la spéculation sur les fonctionnalités futures potentielles encore à implémenter.
Le voleur de portefeuille crypto
Le script téléchargé a révélé une tournure sinistre car il contenait des fonctions conçues pour inspecter le système infecté pour détecter la présence de portefeuilles Bitcoin Core et Exodus.. Si détecté, le malware a remplacé ces portefeuilles par des copies dérobées obtenues à partir de 'apple-analyzer'[.]com.’ Les portefeuilles compromis contenaient du code malveillant conçu pour envoyer des informations sensibles, y compris les phrases de départ, les mots de passe, noms, et soldes, directement sur le serveur C2 de l'attaquant. Les utilisateurs qui se conforment sans méfiance aux invites inattendues pour saisir à nouveau les détails de leur portefeuille risquent de voir leur portefeuille vidé..
Kaspersky a souligné que les applications piratées utilisées comme vecteurs dans cette campagne servent de passerelles pratiques permettant aux acteurs malveillants d'infiltrer les utilisateurs.’ ordinateurs. Bien que l’utilisation d’applications piratées pour diffuser des logiciels malveillants ne soit pas nouvelle, cette campagne illustre la capacité d'adaptation des acteurs de la menace dans la conception de méthodes innovantes, comme dissimuler la charge utile dans un enregistrement TXT de domaine sur un serveur DNS.
Cette révélation n’est pas du tout surprenante, compte tenu des tendances globales des logiciels malveillants macOS et l'avantage des infostealers échappant aux mécanismes de défense de XProtect.