{"id":1114827,"date":"2024-01-23T17:38:49","date_gmt":"2024-01-23T19:38:49","guid":{"rendered":"https:\/\/teknomers.com\/fr\/activateur-alerte-les-logiciels-malveillants-macos-se-cachent-dans-les-applications-crackees-ciblant-les-portefeuilles-cryptographiques\/"},"modified":"2024-01-23T17:38:53","modified_gmt":"2024-01-23T19:38:53","slug":"activateur-alerte-les-logiciels-malveillants-macos-se-cachent-dans-les-applications-crackees-ciblant-les-portefeuilles-cryptographiques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/activateur-alerte-les-logiciels-malveillants-macos-se-cachent-dans-les-applications-crackees-ciblant-les-portefeuilles-cryptographiques\/","title":{"rendered":""Activateur" Alerte\u00a0: les logiciels malveillants MacOS se cachent dans les applications crack\u00e9es, ciblant les portefeuilles cryptographiques"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>23 janvier 2024<\/span>\ue804<\/i>R\u00e9daction<\/span><\/span>Logiciel malveillant \/ Crypto-monnaie<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Des logiciels pirat\u00e9s ont \u00e9t\u00e9 observ\u00e9s infectant les utilisateurs d’Apple macOS avec un malware voleur jusqu’alors non document\u00e9, capable de r\u00e9colter des informations syst\u00e8me et des donn\u00e9es de portefeuille de crypto-monnaie.<\/p>\n

Kaspersky, qui a identifi\u00e9 les artefacts dans la nature, dit<\/a> ils sont con\u00e7us pour cibler les machines ex\u00e9cutant macOS Ventura 13.6 et versions ult\u00e9rieures, indiquant la capacit\u00e9 du malware \u00e0 infecter les Mac sur les architectures de processeurs silicium Intel et Apple.<\/p>\n

Les cha\u00eenes d’attaque exploitent des fichiers d’images disque pi\u00e9g\u00e9s (DMG) qui incluent un programme nomm\u00e9 \u00ab\u00a0Activator\u00a0\u00bb et une version pirat\u00e9e d’un logiciel l\u00e9gitime tel que xScope.<\/p>\n

Les utilisateurs qui finissent par ouvrir les fichiers DMG sont invit\u00e9s \u00e0 d\u00e9placer les deux fichiers vers le dossier Applications et \u00e0 ex\u00e9cuter le composant Activator pour appliquer un correctif suppos\u00e9 et ex\u00e9cuter l’application xScope.<\/p>\n

\"La<\/a><\/center><\/div>\n

Cependant, le lancement d’Activator affiche une invite demandant \u00e0 la victime de saisir le mot de passe de l’administrateur syst\u00e8me, lui permettant ainsi d’ex\u00e9cuter un binaire Mach-O avec des autorisations \u00e9lev\u00e9es afin de lancer l’ex\u00e9cutable xScope modifi\u00e9.<\/p>\n

“L’astuce \u00e9tait que les acteurs malveillants avaient pris des versions d’application pr\u00e9-craqu\u00e9es et ajout\u00e9 quelques octets au d\u00e9but de l’ex\u00e9cutable, emp\u00eachant ainsi l’utilisateur de lancer Activator”, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Sergey Puzan.<\/p>\n

L’\u00e9tape suivante consiste \u00e0 \u00e9tablir un contact avec un serveur de commande et de contr\u00f4le (C2) pour r\u00e9cup\u00e9rer un script chiffr\u00e9. L’URL C2, quant \u00e0 elle, est construite en combinant des mots provenant de deux listes cod\u00e9es en dur et en ajoutant une s\u00e9quence al\u00e9atoire de cinq lettres comme \u00e9l\u00e9ment de r\u00e9f\u00e9rence. nom de domaine de troisi\u00e8me niveau<\/a>.<\/p>\n

\"Portefeuilles<\/a><\/div>\n

Une requ\u00eate DNS pour ce domaine est ensuite envoy\u00e9e pour r\u00e9cup\u00e9rer trois Enregistrements DNS TXT<\/a>chacun contenant un fragment de texte chiffr\u00e9 cod\u00e9 en Base64 qui est d\u00e9chiffr\u00e9 et assembl\u00e9 pour construire un script Python, qui, \u00e0 son tour, \u00e9tablit la persistance et fonctionne comme un t\u00e9l\u00e9chargeur en s’adressant \u00e0 \u00ab apple-health[.]org” toutes les 30 secondes pour t\u00e9l\u00e9charger et ex\u00e9cuter la charge utile principale.<\/p>\n

“C’\u00e9tait une fa\u00e7on assez int\u00e9ressante et inhabituelle de contacter un serveur de commande et de contr\u00f4le et de cacher l’activit\u00e9 dans le trafic, et cela garantissait le t\u00e9l\u00e9chargement de la charge utile, car le message de r\u00e9ponse provenait du serveur DNS”, a expliqu\u00e9 Puzan, le d\u00e9crivant comme “s\u00e9rieusement”. ing\u00e9nieux.”<\/p>\n

La porte d\u00e9rob\u00e9e, activement entretenue et mise \u00e0 jour par l’acteur malveillant, est con\u00e7ue pour ex\u00e9cuter les commandes re\u00e7ues, collecter les m\u00e9tadonn\u00e9es du syst\u00e8me et v\u00e9rifier la pr\u00e9sence des portefeuilles Exodus et Bitcoin Core sur l’h\u00f4te infect\u00e9.<\/p>\n

\"La<\/a><\/center><\/div>\n

Si elles sont trouv\u00e9es, les applications sont remplac\u00e9es par des versions trojanis\u00e9es t\u00e9l\u00e9charg\u00e9es depuis le domaine “apple-analyser[.]com” qui sont \u00e9quip\u00e9s pour exfiltrer la phrase de d\u00e9part, le mot de passe de d\u00e9verrouillage du portefeuille, le nom et le solde vers un serveur contr\u00f4l\u00e9 par un acteur.<\/p>\n

“La charge utile finale \u00e9tait une porte d\u00e9rob\u00e9e qui pouvait ex\u00e9cuter n’importe quel script avec des privil\u00e8ges d’administrateur et remplacer les applications de portefeuille cryptographique Bitcoin Core et Exodus install\u00e9es sur la machine par des versions infect\u00e9es qui volaient des phrases de r\u00e9cup\u00e9ration secr\u00e8tes au moment o\u00f9 le portefeuille \u00e9tait d\u00e9verrouill\u00e9”, a d\u00e9clar\u00e9 Puzan.<\/p>\n

Ce d\u00e9veloppement intervient alors que les logiciels pirat\u00e9s deviennent de plus en plus un moyen de compromettre les utilisateurs de macOS avec une vari\u00e9t\u00e9 de logiciels malveillants, notamment Trojan-Proxy et ZuRu.<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur Twitter \uf099<\/i><\/a> et LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n