{"id":791395,"date":"2023-06-19T16:48:24","date_gmt":"2023-06-19T18:48:24","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-une-nouvelle-boite-a-outils-sophistiquee-ciblant-les-systemes-apple-macos\/"},"modified":"2023-06-19T16:48:27","modified_gmt":"2023-06-19T18:48:27","slug":"des-chercheurs-decouvrent-une-nouvelle-boite-a-outils-sophistiquee-ciblant-les-systemes-apple-macos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-chercheurs-decouvrent-une-nouvelle-boite-a-outils-sophistiquee-ciblant-les-systemes-apple-macos\/","title":{"rendered":"Des chercheurs d\u00e9couvrent une nouvelle bo\u00eete \u00e0 outils sophistiqu\u00e9e ciblant les syst\u00e8mes Apple macOS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">19 juin 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 des terminaux \/ Piratage<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert un ensemble d&#8217;artefacts malveillants qui, selon eux, font partie d&#8217;une bo\u00eete \u00e0 outils sophistiqu\u00e9e ciblant les syst\u00e8mes Apple macOS.<\/p>\n<p>&#8220;Pour l&#8217;instant, ces \u00e9chantillons sont encore largement non d\u00e9tect\u00e9s et tr\u00e8s peu d&#8217;informations sont disponibles sur l&#8217;un d&#8217;entre eux&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Bitdefender Andrei Lapusneanu et Bogdan Botezatu. <a rel=\"nofollow noopener\" href=\"https:\/\/www.bitdefender.com\/blog\/labs\/fragments-of-cross-platform-backdoor-hint-at-larger-mac-os-attack\/\" target=\"_blank\">a dit<\/a> dans un rapport pr\u00e9liminaire publi\u00e9 vendredi.<\/p>\n<p>L&#8217;analyse de la firme roumaine est bas\u00e9e sur un examen de quatre \u00e9chantillons qui ont \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9s sur VirusTotal par une victime anonyme.  Le premier \u00e9chantillon remonte au 18 avril 2023.<\/p>\n<p>Deux des trois programmes malveillants seraient des portes d\u00e9rob\u00e9es g\u00e9n\u00e9riques bas\u00e9es sur Python con\u00e7ues pour cibler les syst\u00e8mes Windows, Linux et macOS.  Les charges utiles ont \u00e9t\u00e9 collectivement surnomm\u00e9es <strong>JokerEspion<\/strong>.<\/p>\n<p>Le premier constituant est shared.dat, qui, une fois lanc\u00e9, ex\u00e9cute une v\u00e9rification du syst\u00e8me d&#8217;exploitation (0 pour Windows, 1 pour macOS et 2 pour Linux) et \u00e9tablit un contact avec un serveur distant pour r\u00e9cup\u00e9rer des instructions suppl\u00e9mentaires \u00e0 ex\u00e9cuter.<\/p>\n<div class=\"check_two clear badbox\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/netspi-in-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgJAjUQq6Q-jnCUYYsXW9S62xJXyCmVlxF__fI5R0hdBdqBD6x-3aAoH7eBcc_FJ1C5b7gUMEbhDvqoDNQli6GCY7zdtiROqBsEwJdQK0GJsddjJY20zaFbXObbbtlW838TLd_DI5fQQ-ug4-jw3mfW8-n6MUytcojduvyOtnjbOxtv7BM36WV4bPSbLQ\/s728-e200\/netspi-728-2.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cela inclut la collecte d&#8217;informations syst\u00e8me, l&#8217;ex\u00e9cution de commandes, le t\u00e9l\u00e9chargement et l&#8217;ex\u00e9cution de fichiers sur la machine victime et l&#8217;arr\u00eat de l&#8217;ordinateur.<\/p>\n<p>Sur les appareils ex\u00e9cutant macOS, le contenu encod\u00e9 en Base64 r\u00e9cup\u00e9r\u00e9 du serveur est \u00e9crit dans un fichier nomm\u00e9 &#8220;\/Users\/Shared\/AppleAccount.tgz&#8221; qui est ensuite d\u00e9compress\u00e9 et lanc\u00e9 en tant qu&#8217;application &#8220;\/Users\/Shared\/TempUser\/AppleAccountAssistant.app&#8221;.<\/p>\n<p>La m\u00eame routine, sur les h\u00f4tes Linux, valide la distribution du syst\u00e8me d&#8217;exploitation en cochant le &#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/www.linux.org\/docs\/man5\/os-release.html\" target=\"_blank\">\/etc\/os-release<\/a>&#8220;. Il proc\u00e8de ensuite \u00e0 l&#8217;\u00e9criture de code C dans un fichier temporaire &#8220;tmp.c&#8221;, qui est compil\u00e9 dans un fichier appel\u00e9 &#8220;\/tmp\/.ICE-unix\/git&#8221; \u00e0 l&#8217;aide de la commande cc sur Fedora et gcc sur Debian.<\/p>\n<p>Bitdefender a d\u00e9clar\u00e9 avoir \u00e9galement trouv\u00e9 une &#8220;porte d\u00e9rob\u00e9e plus puissante&#8221; parmi les \u00e9chantillons, un fichier intitul\u00e9 &#8220;sh.py&#8221; qui est livr\u00e9 avec un ensemble complet de fonctionnalit\u00e9s pour collecter les m\u00e9tadonn\u00e9es du syst\u00e8me, \u00e9num\u00e9rer les fichiers, supprimer des fichiers, ex\u00e9cuter des commandes et des fichiers et exfiltrer encod\u00e9 donn\u00e9es par lots.<\/p>\n<p>Le troisi\u00e8me composant est un binaire FAT connu sous le nom de xcc qui est \u00e9crit en Swift et cible macOS Monterey (version 12) et plus r\u00e9cent.  Le fichier contient deux fichiers Mach-O pour les architectures de processeurs jumeaux, x86 Intel et ARM M1.<\/p>\n<p>&#8220;Son objectif principal est apparemment de v\u00e9rifier les autorisations avant d&#8217;utiliser un composant logiciel espion potentiel (probablement pour capturer l&#8217;\u00e9cran) mais n&#8217;inclut pas le composant logiciel espion lui-m\u00eame&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<div class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>\ud83d\udd10 Ma\u00eetriser la s\u00e9curit\u00e9 des API\u00a0: Comprendre votre v\u00e9ritable surface d&#8217;attaque<\/p>\n<p class=\"wn-description\">D\u00e9couvrez les vuln\u00e9rabilit\u00e9s inexploit\u00e9es de votre \u00e9cosyst\u00e8me d&#8217;API et prenez des mesures proactives pour une s\u00e9curit\u00e9 \u00e0 toute \u00e9preuve.  Rejoignez notre webinaire perspicace !<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" class=\"wn-button\">Rejoindre la s\u00e9ance<\/a><\/div>\n<p>&#8220;Cela nous porte \u00e0 croire que ces fichiers font partie d&#8217;une attaque plus complexe et que plusieurs fichiers sont absents du syst\u00e8me sur lequel nous avons enqu\u00eat\u00e9.&#8221;<\/p>\n<p>Les connexions aux logiciels espions de xcc proviennent d&#8217;un chemin identifi\u00e9 dans le contenu du fichier, &#8220;\/Users\/joker\/Downloads\/Spy\/XProtectCheck\/&#8221; et du fait qu&#8217;il v\u00e9rifie les autorisations telles que l&#8217;acc\u00e8s au disque, l&#8217;enregistrement d&#8217;\u00e9cran et l&#8217;accessibilit\u00e9.<\/p>\n<p>L&#8217;identit\u00e9 des acteurs de la menace \u00e0 l&#8217;origine de l&#8217;activit\u00e9 est encore inconnue.  On ne sait pas non plus actuellement comment l&#8217;acc\u00e8s initial est obtenu et s&#8217;il implique un \u00e9l\u00e9ment d&#8217;ing\u00e9nierie sociale ou de harponnage.<\/p>\n<p>La divulgation intervient un peu plus de deux semaines apr\u00e8s que la soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 Kaspersky a r\u00e9v\u00e9l\u00e9 que les appareils iOS avaient \u00e9t\u00e9 cibl\u00e9s dans le cadre d&#8217;une campagne mobile sophistiqu\u00e9e et de longue dur\u00e9e baptis\u00e9e Op\u00e9ration Triangulation qui a d\u00e9but\u00e9 en 2019.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/06\/researchers-discover-new-sophisticated.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80219 juin 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 des terminaux \/ Piratage Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert un ensemble d&#8217;artefacts malveillants qui, selon eux, font partie d&#8217;une bo\u00eete \u00e0 outils sophistiqu\u00e9e ciblant les syst\u00e8mes Apple macOS. &#8220;Pour l&#8217;instant, ces \u00e9chantillons sont encore largement non d\u00e9tect\u00e9s et tr\u00e8s peu d&#8217;informations sont disponibles sur l&#8217;un d&#8217;entre eux&#8221;, ont d\u00e9clar\u00e9 les [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":791396,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2479,5905,12848,4175,4168,4158,4165,4161,3073,133,4157,4159,4171,4170,65,4167,34503,4160,197,4163,4162,24879,4172,4169,83809,5046,196,4166,4164],"class_list":["post-791395","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-apple","tag-boite","tag-chercheurs","tag-ciblant","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-decouvrent","tag-des","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-macos","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-outils","tag-securite-informatique","tag-securite-internet","tag-sophistiquee","tag-systemes","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/791395","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=791395"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/791395\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/791396"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=791395"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=791395"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=791395"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}