Des chercheurs ont r\u00e9v\u00e9l\u00e9 les d\u00e9tails d’une variante macOS r\u00e9cemment d\u00e9couverte d’un implant de malware d\u00e9velopp\u00e9 par un acteur de menace d’espionnage chinois connu pour frapper des organisations d’attaque \u00e0 travers l’Asie.<\/p>\n
Attribuer les attaques \u00e0 un groupe suivi comme Nuage d’orage<\/a>la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Volexity a caract\u00e9ris\u00e9 le nouveau malware, surnomm\u00e9 Truc<\/strong>une “famille de logiciels malveillants multiplateforme riche en fonctionnalit\u00e9s qui utilise des services d’h\u00e9bergement cloud public (tels que Google Drive) pour les canaux de commande et de contr\u00f4le (C2)”.<\/p>\n La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 a d\u00e9clar\u00e9 avoir r\u00e9cup\u00e9r\u00e9 l’\u00e9chantillon gr\u00e2ce \u00e0 l’analyse de la m\u00e9moire d’un MacBook Pro compromis ex\u00e9cutant macOS 11.6 (Big Sur) dans le cadre d’une campagne d’intrusion qui a eu lieu fin 2021.<\/p>\n “Storm Cloud est un acteur de menace avanc\u00e9 et polyvalent, adaptant son ensemble d’outils pour correspondre aux diff\u00e9rents syst\u00e8mes d’exploitation utilis\u00e9s par ses cibles”, ont d\u00e9clar\u00e9 Damien Cash, Steven Adair et Thomas Lancaster, chercheurs chez Volexity. mentionn\u00e9<\/a> dans un rapport.<\/p>\n “Ils utilisent des utilitaires de syst\u00e8me d’exploitation int\u00e9gr\u00e9s, des outils open source et des implants de logiciels malveillants personnalis\u00e9s pour atteindre leurs objectifs. L’exploitation des plates-formes cloud pour C2, comme l’utilisation de Google Drive, augmente la probabilit\u00e9 de fonctionner sans \u00eatre d\u00e9tect\u00e9e par les solutions de surveillance du r\u00e9seau.”<\/p>\n Contrairement \u00e0 son homologue Windows, qui est cod\u00e9 \u00e0 la fois en .NET et en Delphi, la version macOS est \u00e9crite en Objective C. Mis \u00e0 part le choix des langages de programmation, les deux versions du malware sont connues pour partager la m\u00eame infrastructure C2 et les m\u00eames sch\u00e9mas comportementaux.<\/p>\n Une fois d\u00e9ploy\u00e9, Gimmick est lanc\u00e9 soit en tant que d\u00e9mon, soit sous la forme d’une application personnalis\u00e9e con\u00e7ue pour se faire passer pour un programme fr\u00e9quemment lanc\u00e9 par l’utilisateur cibl\u00e9. Le logiciel malveillant est configur\u00e9 pour communiquer avec son serveur C2 bas\u00e9 sur Google Drive uniquement les jours ouvrables afin de se fondre davantage dans le trafic r\u00e9seau de l’environnement cible.<\/p>\n De plus, la porte d\u00e9rob\u00e9e, en plus de r\u00e9cup\u00e9rer des fichiers arbitraires et d’ex\u00e9cuter des commandes \u00e0 partir du serveur C2, est livr\u00e9e avec sa propre fonctionnalit\u00e9 de d\u00e9sinstallation qui lui permet de s’effacer de la machine compromise.<\/p>\n Pour prot\u00e9ger les utilisateurs contre les logiciels malveillants, Apple a publi\u00e9 nouvelles signatures<\/a> \u00e0 sa suite de protection anti-malware int\u00e9gr\u00e9e connue sous le nom de XProtect depuis le 17 mars 2022 pour bloquer et supprimer les infections via son Malware Removal Tool (MRT).<\/p>\n “Le travail impliqu\u00e9 dans le portage de ce malware et l’adaptation de ses syst\u00e8mes \u00e0 un nouveau syst\u00e8me d’exploitation (macOS) n’est pas une mince affaire et sugg\u00e8re que l’acteur de la menace derri\u00e8re lui est bien dot\u00e9 en ressources, adepte et polyvalent”, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Alertes-CISA-sur-les-failles-activement-exploitees-dans-la-plate-forme.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/Nouvelle-variante-du-logiciel-malveillant-chinois-Gimmick-ciblant-les-utilisateurs.jpg\")
<\/div>\n<\/a><\/div>\n