Les op\u00e9rateurs du logiciel malveillant XCSSET macOS ont augment\u00e9 les enjeux en apportant des am\u00e9liorations it\u00e9ratives qui ajoutent la prise en charge de macOS Monterey en mettant \u00e0 niveau ses composants de code source vers Python 3.<\/p>\n
“Les auteurs de logiciels malveillants sont pass\u00e9s du masquage de l’ex\u00e9cutable principal dans un faux Xcode.app dans les versions initiales en 2020 \u00e0 un faux Mail.app en 2021 et maintenant \u00e0 un faux Notes.app en 2022”, ont d\u00e9clar\u00e9 Phil Stokes et Dinesh Devadoss, chercheurs de SentinelOne. a dit<\/a> dans un rapport.<\/p>\n XCSSET, document\u00e9 pour la premi\u00e8re fois par Trend Micro en 2020, comporte de nombreuses pi\u00e8ces mobiles qui lui permettent de r\u00e9colter des informations sensibles \u00e0 partir d’Apple Notes, WeChat, Skype et Telegram ; injecter du code JavaScript malveillant dans divers sites Web\u00a0; et vider les cookies du navigateur Web Safari.<\/p>\n Les cha\u00eenes d’infection impliquent l’utilisation d’un compte-gouttes pour compromettre les projets Xcode des utilisateurs avec la porte d\u00e9rob\u00e9e, ce dernier prenant \u00e9galement des mesures pour \u00e9chapper \u00e0 la d\u00e9tection en se faisant passer pour un logiciel syst\u00e8me ou l’application de navigateur Web Google Chrome.<\/p>\n L’ex\u00e9cutable principal est un AppleScript con\u00e7u pour r\u00e9cup\u00e9rer les charges utiles AppleScript de deuxi\u00e8me \u00e9tape \u00e0 partir d’un r\u00e9seau de serveurs distants qui siphonnent les donn\u00e9es stock\u00e9es dans des navigateurs Web tels que Google Chrome, Mozilla Firefox, Microsoft Edge, Brave et Yandex Browser ainsi que des applications de chat comme T\u00e9l\u00e9gramme et WeChat.<\/p>\n L’auteur de la menace est \u00e9galement connu pour utiliser un AppleScript personnalis\u00e9 (“listing.applescript”) pour d\u00e9terminer “\u00e0 quel point la victime est \u00e0 jour avec l’outil de suppression des logiciels malveillants XProtect et MRT d’Apple, probablement pour mieux les cibler avec des charges utiles plus efficaces “, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n L’un des nouveaux aspects de l’attaque est que le d\u00e9ploiement du logiciel malveillant dans les projets Xcode est consid\u00e9r\u00e9 comme une m\u00e9thode de propagation via les r\u00e9f\u00e9rentiels GitHub pour \u00e9tendre davantage sa port\u00e9e.<\/p>\n En plus d’exploiter les AppleScripts, le logiciel malveillant tire \u00e9galement parti des scripts Python pour d\u00e9poser de fausses ic\u00f4nes d’application sur le Dock macOS et voler des donn\u00e9es de l’application Notes l\u00e9gitime.<\/p>\n La derni\u00e8re version de XCSSET est \u00e9galement remarquable pour incorporer des modifications aux AppleScripts pour tenir compte de la suppression<\/a> de Python 2.7 de macOS 12.3 publi\u00e9 le 14 mars 2022, indiquant que les auteurs mettent continuellement \u00e0 jour le malware pour augmenter leurs chances de succ\u00e8s.<\/p>\n \u00c0 cette fin, l’adversaire aurait mis \u00e0 jour son “safari_remote.applescript” en \u00e9liminant Python 2 au profit de Python 3 pour les syst\u00e8mes ex\u00e9cutant macOS Monterey 12.3 et sup\u00e9rieur.<\/p>\n Bien qu’ils soient dans la nature depuis deux ans, on sait tr\u00e8s peu de choses sur l’identit\u00e9 des acteurs de la menace et leurs motivations ou leurs cibles exactes. Cela dit, les attaques de logiciels malveillants XCSSET ont \u00e9t\u00e9 rapport\u00e9 en Chine<\/a> pas plus tard qu’en mai 2022, qui exigeait que les victimes paient 200 USDT en \u00e9change du d\u00e9verrouillage des comptes vol\u00e9s.<\/p>\n “\u00c0 l’heure actuelle, il n’est pas clair si ces repos infect\u00e9s sont des victimes ou des plantes d’acteurs malveillants qui esp\u00e8rent infecter des utilisateurs imprudents”, ont not\u00e9 les chercheurs. “Il a \u00e9t\u00e9 sugg\u00e9r\u00e9 que les utilisateurs peu m\u00e9fiants pourraient \u00eatre dirig\u00e9s vers les r\u00e9f\u00e9rentiels infect\u00e9s via des didacticiels et des screencasts pour les d\u00e9veloppeurs novices.”<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Une-nouvelle-attaque-Air-Gap-utilise-le-canal-secret-ultrasonique-du.png\")
<\/a><\/div>\n![\"Logiciel](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Mises-a-jour-des-logiciels-malveillants-XCSSET-avec-Python-3.jpg\" "\\"Logiciel")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/1661231965_829_Une-nouvelle-attaque-Air-Gap-utilise-le-canal-secret-ultrasonique-du.png\")
<\/a><\/div>\n