Des logiciels piratés ont été observés infectant les utilisateurs d’Apple macOS avec un malware voleur jusqu’alors non documenté, capable de récolter des informations système et des données de portefeuille de crypto-monnaie.
Kaspersky, qui a identifié les artefacts dans la nature, dit ils sont conçus pour cibler les machines exécutant macOS Ventura 13.6 et versions ultérieures, indiquant la capacité du malware à infecter les Mac sur les architectures de processeurs silicium Intel et Apple.
Les chaînes d’attaque exploitent des fichiers d’images disque piégés (DMG) qui incluent un programme nommé « Activator » et une version piratée d’un logiciel légitime tel que xScope.
Les utilisateurs qui finissent par ouvrir les fichiers DMG sont invités à déplacer les deux fichiers vers le dossier Applications et à exécuter le composant Activator pour appliquer un correctif supposé et exécuter l’application xScope.
Cependant, le lancement d’Activator affiche une invite demandant à la victime de saisir le mot de passe de l’administrateur système, lui permettant ainsi d’exécuter un binaire Mach-O avec des autorisations élevées afin de lancer l’exécutable xScope modifié.
“L’astuce était que les acteurs malveillants avaient pris des versions d’application pré-craquées et ajouté quelques octets au début de l’exécutable, empêchant ainsi l’utilisateur de lancer Activator”, a déclaré le chercheur en sécurité Sergey Puzan.
L’étape suivante consiste à établir un contact avec un serveur de commande et de contrôle (C2) pour récupérer un script chiffré. L’URL C2, quant à elle, est construite en combinant des mots provenant de deux listes codées en dur et en ajoutant une séquence aléatoire de cinq lettres comme élément de référence. nom de domaine de troisième niveau.
Une requête DNS pour ce domaine est ensuite envoyée pour récupérer trois Enregistrements DNS TXTchacun contenant un fragment de texte chiffré codé en Base64 qui est déchiffré et assemblé pour construire un script Python, qui, à son tour, établit la persistance et fonctionne comme un téléchargeur en s’adressant à « apple-health[.]org” toutes les 30 secondes pour télécharger et exécuter la charge utile principale.
“C’était une façon assez intéressante et inhabituelle de contacter un serveur de commande et de contrôle et de cacher l’activité dans le trafic, et cela garantissait le téléchargement de la charge utile, car le message de réponse provenait du serveur DNS”, a expliqué Puzan, le décrivant comme “sérieusement”. ingénieux.”
La porte dérobée, activement entretenue et mise à jour par l’acteur malveillant, est conçue pour exécuter les commandes reçues, collecter les métadonnées du système et vérifier la présence des portefeuilles Exodus et Bitcoin Core sur l’hôte infecté.
Si elles sont trouvées, les applications sont remplacées par des versions trojanisées téléchargées depuis le domaine “apple-analyser[.]com” qui sont équipés pour exfiltrer la phrase de départ, le mot de passe de déverrouillage du portefeuille, le nom et le solde vers un serveur contrôlé par un acteur.
“La charge utile finale était une porte dérobée qui pouvait exécuter n’importe quel script avec des privilèges d’administrateur et remplacer les applications de portefeuille cryptographique Bitcoin Core et Exodus installées sur la machine par des versions infectées qui volaient des phrases de récupération secrètes au moment où le portefeuille était déverrouillé”, a déclaré Puzan.
Ce développement intervient alors que les logiciels piratés deviennent de plus en plus un moyen de compromettre les utilisateurs de macOS avec une variété de logiciels malveillants, notamment Trojan-Proxy et ZuRu.