{"id":1108624,"date":"2024-01-19T13:47:33","date_gmt":"2024-01-19T15:47:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-experts-mettent-en-garde-contre-la-porte-derobee-macos-cachee-dans-les-versions-piratees-de-logiciels-populaires\/"},"modified":"2024-01-19T13:47:37","modified_gmt":"2024-01-19T15:47:37","slug":"les-experts-mettent-en-garde-contre-la-porte-derobee-macos-cachee-dans-les-versions-piratees-de-logiciels-populaires","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-experts-mettent-en-garde-contre-la-porte-derobee-macos-cachee-dans-les-versions-piratees-de-logiciels-populaires\/","title":{"rendered":"Les experts mettent en garde contre la porte d\u00e9rob\u00e9e macOS cach\u00e9e dans les versions pirat\u00e9es de logiciels populaires"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Logiciels malveillants\/s\u00e9curit\u00e9 des points de terminaison<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Les-experts-mettent-en-garde-contre-la-porte-derobee-macOS.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Des applications pirat\u00e9es ciblant les utilisateurs d&#8217;Apple macOS ont \u00e9t\u00e9 observ\u00e9es contenant une porte d\u00e9rob\u00e9e capable d&#8217;accorder aux attaquants le contr\u00f4le \u00e0 distance des machines infect\u00e9es.<\/p>\n<p>&#8220;Ces applications sont h\u00e9berg\u00e9es sur des sites Web de piratage chinois afin de faire des victimes&#8221;, affirment Ferdous Saljooki et Jaron Bradley, chercheurs de Jamf Threat Labs. <a rel=\"nofollow noopener\" href=\"https:\/\/www.jamf.com\/blog\/jtl-malware-pirated-applications\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>&#8220;Une fois d\u00e9clench\u00e9, le malware t\u00e9l\u00e9chargera et ex\u00e9cutera plusieurs charges utiles en arri\u00e8re-plan afin de compromettre secr\u00e8tement la machine de la victime.&#8221;<\/p>\n<p>Les fichiers d&#8217;images disque d\u00e9rob\u00e9s (DMG), qui ont \u00e9t\u00e9 modifi\u00e9s pour \u00e9tablir des communications avec une infrastructure contr\u00f4l\u00e9e par des acteurs, incluent des logiciels l\u00e9gitimes tels que Navicat Premium, UltraEdit, FinalShell, SecureCRT et Microsoft Remote Desktop.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705402644_392_Le-logiciel-malveillant-Inferno-deguise-en-Coinbase-a-draine-87.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les applications non sign\u00e9es, en plus d&#8217;\u00eatre h\u00e9berg\u00e9es sur un site chinois nomm\u00e9 macyy[.]cn, incorporez un composant compte-gouttes appel\u00e9 &#8220;dylib&#8221; qui est ex\u00e9cut\u00e9 \u00e0 chaque ouverture de l&#8217;application.<\/p>\n<p>Le compte-gouttes agit ensuite comme un canal pour r\u00e9cup\u00e9rer une porte d\u00e9rob\u00e9e (\u00ab bd.log \u00bb) ainsi qu&#8217;un t\u00e9l\u00e9chargeur (\u00ab fl01.log \u00bb) \u00e0 partir d&#8217;un serveur distant, qui est utilis\u00e9 pour configurer la persistance et r\u00e9cup\u00e9rer des charges utiles suppl\u00e9mentaires sur la machine compromise. .<\/p>\n<p>La porte d\u00e9rob\u00e9e \u2013 \u00e9crite dans le chemin &#8220;\/tmp\/.test&#8221; \u2013 est compl\u00e8te et construite sur une bo\u00eete \u00e0 outils de post-exploitation open source appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/geemion\/Khepri\" target=\"_blank\">Kh\u00e9pri<\/a>.  Le fait qu&#8217;il se trouve dans le r\u00e9pertoire &#8220;\/tmp&#8221; signifie qu&#8217;il sera supprim\u00e9 \u00e0 l&#8217;arr\u00eat du syst\u00e8me.<\/p>\n<p>Cela dit, il sera recr\u00e9\u00e9 au m\u00eame endroit la prochaine fois que l&#8217;application pirat\u00e9e sera charg\u00e9e et que le dropper sera ex\u00e9cut\u00e9.<\/p>\n<p>D&#8217;un autre c\u00f4t\u00e9, le t\u00e9l\u00e9chargeur est \u00e9crit dans le chemin cach\u00e9 &#8220;\/Users\/Shared\/.fseventsd&#8221;, apr\u00e8s quoi il cr\u00e9e un LaunchAgent pour assurer la persistance et envoie une requ\u00eate HTTP GET \u00e0 un serveur contr\u00f4l\u00e9 par un acteur.<\/p>\n<p>Bien que le serveur ne soit plus accessible, le t\u00e9l\u00e9chargeur est con\u00e7u pour \u00e9crire la r\u00e9ponse HTTP dans un nouveau fichier situ\u00e9 dans \/tmp\/.fseventsds, puis le lancer.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Jamf a d\u00e9clar\u00e9 que le malware partage plusieurs similitudes avec <a rel=\"nofollow noopener\" href=\"https:\/\/objective-see.org\/blog\/blog_0x66.html\" target=\"_blank\">ZuRu<\/a>qui a \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/21\/i\/mac-users-targeted-by-trojanized-iterm2-app.html\" target=\"_blank\">observ\u00e9<\/a> se propageait autrefois via des applications pirat\u00e9es sur des sites chinois.<\/p>\n<p>&#8220;Il est possible que ce malware soit le successeur du malware ZuRu \u00e9tant donn\u00e9 ses applications cibl\u00e9es, ses commandes de chargement modifi\u00e9es et son infrastructure d&#8217;attaquant&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/experts-warn-of-macos-backdoor-hidden.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 janvier 2024\ue804R\u00e9dactionLogiciels malveillants\/s\u00e9curit\u00e9 des points de terminaison Des applications pirat\u00e9es ciblant les utilisateurs d&#8217;Apple macOS ont \u00e9t\u00e9 observ\u00e9es contenant une porte d\u00e9rob\u00e9e capable d&#8217;accorder aux attaquants le contr\u00f4le \u00e0 distance des machines infect\u00e9es. &#8220;Ces applications sont h\u00e9berg\u00e9es sur des sites Web de piratage chinois afin de faire des victimes&#8221;, affirment Ferdous Saljooki et Jaron [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1108625,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,30206,4168,841,4165,4161,200267,429,7084,692,525,4159,4171,65,200271,4589,34503,3915,200268,200269,200270,43528,12308,2742,128318,4172,4169,11408,4166,4164],"class_list":["post-1108624","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-cachee","tag-comment-pirater","tag-contre","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dans","tag-derobee","tag-experts","tag-garde","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-logiciels","tag-macos","tag-mettent","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-piratees","tag-populaires","tag-porte","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-versions","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1108624","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1108624"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1108624\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1108625"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1108624"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1108624"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1108624"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}