Les utilisateurs de Macbook Crypto ciblés par une attaque avancée de logiciels malveillants, prévient une société de cybersécurité
- Attaque de logiciels malveillants ciblant les utilisateurs de Macbook Crypto : Une société de cybersécurité a découvert une attaque sophistiquée visant les utilisateurs de Macbook dans l'espace cryptographique.
- Récolte de données sensibles à partir des systèmes infectés : Les attaquants ont utilisé un malware pour collecter des informations sensibles sur les utilisateurs, telles que les mots de passe et adresses IP externes.
- Campagne de logiciels malveillants ciblant des applications de portefeuille cryptographique : Le malware a été conçu pour remplacer des versions légitimes d'applications populaires par des versions infectées afin de voler les informations personnelles des utilisateurs.
Dans le secteur de la cryptographie en croissance rapide, l’adoption généralisée des cryptomonnaies a attiré non seulement des utilisateurs légitimes, mais également des cybercriminels cherchant à exploiter les vulnérabilités.
Des découvertes récentes de la société de cybersécurité Kaspersky ont mis en lumière une attaque de malware sophistiquée ciblant les utilisateurs de Macbook dans l’espace cryptographique.
Récolte de données sensibles à partir de systèmes Mac infectés
Les experts de Kaspersky Lab ont découvert que les attaquants reconditionnaient les applications pré-craquées sous forme de fichiers Package (PKG), un type de format de fichier couramment utilisé sur les Macbooks, et intégraient un proxy cheval de Troie et un script de post-installation.
Les applications chargées de logiciels malveillants étaient principalement distribuées via des canaux de logiciels piratés. Une fois que les utilisateurs ont tenté d’installer les applications piratées, ils ont déclenché sans le savoir le processus d’infection.
Pour tromper les utilisateurs, le package d'installation infecté a affiché une fenêtre avec des instructions d'installation, leur demandant de copier l'application dans le répertoire /Applications/ et de lancer une application appelée « Activator ».
Bien qu'il semble simple à première vue, Activator a invité les utilisateurs à saisir un mot de passe, accordant ainsi les privilèges d'administrateur du logiciel malveillant.
Lors de son exécution, le logiciel malveillant recherchait sur le système une copie installée du langage de programmation Python 3 et, en cas d'absence, installait une version précédemment copiée de Python 3 à partir du répertoire du système d'exploitation du Macbook.
Le malware a ensuite « corrigé » l’application téléchargée en comparant l’exécutable modifié avec une séquence codée en dur dans Activator. Si une correspondance était trouvée, le logiciel malveillant supprimait les octets initiaux, donnant ainsi à l'utilisateur l'impression que l'application était fissurée et fonctionnelle. Cependant, les véritables intentions des attaquants sont devenues évidentes lorsque le malware a lancé sa principale charge utile.
L'échantillon infecté a établi une communication avec un serveur de commande et de contrôle (C2) en générant un localisateur de ressources uniforme (URL) ou une adresse Web unique, via une combinaison de mots codés en dur et un nom de domaine aléatoire de troisième niveau.
Cette méthode permettait au malware de dissimuler ses activités dans le trafic normal du serveur DNS, garantissant ainsi le téléchargement de la charge utile.
Le script déchiffré obtenu du serveur C2 – un serveur ou une infrastructure distante utilisée par les cybercriminels pour contrôler et gérer leurs opérations de malware ou de botnet – a révélé que le malware opérait en exécutant des commandes arbitraires reçues du serveur. Ces commandes étaient souvent fournies sous forme de scripts Python codés en Base64.
De plus, le logiciel malveillant a collecté des informations sensibles sur le système infecté, notamment la version du système d'exploitation, les répertoires des utilisateurs, la liste des applications installées, le type de processeur et l'adresse IP externe. Les données collectées étaient ensuite renvoyées au serveur.
Une campagne de logiciels malveillants cible les applications de portefeuille cryptographique
En analysant la campagne de malware, Kaspersky a observé que le serveur C2 n'avait renvoyé aucune commande au cours de son enquête et avait finalement cessé de répondre.
Cependant, des tentatives ultérieures de téléchargement du script Python de troisième étape ont conduit à la découverte de mises à jour dans les métadonnées du script, indiquant un développement et une adaptation en cours par les opérateurs de logiciels malveillants.
De plus, le logiciel malveillant contenait des fonctions ciblant spécifiquement les applications de portefeuille cryptographiques populaires, telles que Exodus et Bitcoin-Qt.
Si ces applications étaient détectées sur le système infecté, le malware tentait de les remplacer par des versions infectées obtenues auprès d'un autre hôte, Apple-Analyzer. [.]com.
Ces portefeuilles cryptographiques infectés comprenaient des mécanismes permettant de voler les mots de passe de déverrouillage du portefeuille et les phrases de récupération secrètes à des utilisateurs sans méfiance.
La société de cybersécurité a souligné que des acteurs malveillants continuent de distribuer des applications piratées pour accéder aux ordinateurs des utilisateurs.
En exploitant la confiance des utilisateurs lors de l'installation du logiciel, les attaquants peuvent facilement élever leurs privilèges en invitant les utilisateurs à saisir leur mot de passe. Kaspersky a également souligné les techniques employées par la campagne de malware, telles que le stockage du script Python dans un enregistrement TXT de domaine sur un serveur DNS, démontrant « l'ingéniosité » des attaquants.
com
