Ils identifient un nouveau « malware » dans MacOS capable de voler des fichiers en se faisant passer pour une mise à jour de Visual Studio

MADRID, 12 février (Portaltic/EP) –

Un groupe de chercheurs a identifié un nouveau des « logiciels malveillants » ciblant les utilisateurs d’ordinateurs MacOS, capable de voler des fichiers via une porte dérobée qui est distribué en se faisant passer pour un Mise à jour du programme de code Microsoft Visual Studio.

Ceci a été détaillé par un groupe de chercheurs de la société de cybersécurité bitdefender, qui assure que c’est un nouvelle porte dérobée appartenant à une famille de logiciels malveillants « jusqu’alors non documentés » et cela montre un lien possible vers un groupe de « ransomwares » Windows.

Dans ce cadre, comme détaillé dans un déclaration sur leur site Webcette porte dérobée, qu’ils appellent Cheval de Troie.MAC.RustDoors’adresse aux Utilisateurs de macOS et écrit en Rustun langage de programmation « relativement nouveau » dans l’écosystème des « logiciels malveillants » proposé aux cybercriminels avantages lorsqu’il s’agit d’échapper à la détection et à l’analyse des attaques.

Plus précisément, comme ils ont pu le vérifier, les « logiciels malveillants » peuvent être utilisés pour voler des fichiers ou des types de fichiers spécifiquesainsi que pour les archiver et les télécharger vers le centre de commande et de contrôle (C&C)afin que des acteurs malveillants puissent y accéder.

De plus, selon les chercheurs, il s’agit d’un campagne qui est active depuis au moins novembre de l’année dernière. Le dernier échantillon de « malware » trouvé est daté du 2 de ce mois, ce qui indique que “fonctionne sans être détecté depuis au moins trois mois.”

Ainsi, pour se diffuser, ce « malware » usurpe une mise à jour du programme Visual Studio de Microsoft. En fait, certains échantillons identifiés portent des noms tels que ‘VisualStudioUpdater’, ‘VisualStudioUpdater_Patch’, ‘VisualStudioUpdating’ et ‘visualstudioupdate’. Cependant, d’autres échantillons de ce « malware » ont également été trouvés sous le nom « DO_NOT_RUN_ChromeUpdates » ou « zshrc2 ».

De même, tous les fichiers sont affichés comme FAT binairec’est-à-dire qu’ils peuvent fonctionner sur plusieurs types de processeursdans ce cas, pour les architectures basées sur Intel (x86_64) oui BRAS (Apple Silicium).

Au sein du différentes versions que les chercheurs ont identifié dans la campagne de ce « malware », des commandes telles que « shell », « cd », « sleep », « upload », « taskkill » ou « dialog » ont été trouvées, avec lesquelles les cybercriminels peuvent collecter et télécharger des fichiers, ainsi qu’obtenir des informations sur l’appareil lui-même dans lequel il est réalisé.

Comme ils l’ont expliqué spécifiquement, le Commande ‘sysctl’ avec les commandes ‘pwd’ et ‘hostname’ envoyer à point de terminaison d’enregistrement du serveur d’infrastructure de commande et de contrôle -c’est-à-dire des serveurs qui contrôlent l’information, la centralisent et effectuent les actions nécessaires- un déposer l’identification de la victimequi est ensuite utilisé dans « le reste de la communication entre C&C et la porte dérobée ».

Avec tout cela, Bitdefender a indiqué que, pour le moment, cette campagne de « malware » ne peut être attribuée à aucun acteur menaçant connu. Ils ont cependant observé similitudes avec le ‘ransomware’ ALPHV/BlackCatqui utilise également le langage de programmation Rust et des « domaines communs » tels que les serveurs d’infrastructure de commande et de contrôle.

En fait, ils ont souligné que trois des quatre serveurs de commande et de contrôle utilisés dans ce « malware »ils se sont associé à de précédentes campagnes de « ransomware » ciblant les clients Windows.