Mercredi 24 janvier 2024 – 23h04 WIB
Jakarta – Les chercheurs de Kaspersky ont découvert un type non conventionnel de malware macOS. Cette suite de logiciels malveillants jusqu’alors inconnue, distribuée secrètement via des applications piratées, cible les actifs cryptographiques des utilisateurs de macOS, qui sont stockés dans des portefeuilles numériques.
Contrairement aux chevaux de Troie proxy découverts précédemment par Kaspersky, cette nouvelle menace vise à compromettre le cheval de Troie.
La nouvelle porte dérobée macOS cible les portefeuilles d’actifs cryptographiques
Ce cheval de Troie cryptographique est unique à deux égards : premièrement, il utilise des enregistrements DNS pour diffuser ses scripts Python malveillants. Deuxièmement, il a non seulement volé le portefeuille cryptographique, mais a également remplacé l’application de portefeuille par une version infectée de celle-ci.
Cela permet de voler des phrases secrètes utilisées pour accéder aux actifs cryptographiques stockés dans les portefeuilles.
Le malware cible macOS version 13.6 et versions ultérieures, indiquant qu’il se concentre sur les utilisateurs de systèmes d’exploitation plus récents, à la fois sur les appareils Intel et Apple Silicon.
Image disque ceux compromis contenaient les « activateurs » et les applications recherchées. L’activateur, qui semble à première vue inoffensif, active l’application compromise après avoir saisi le mot de passe de l’utilisateur.
L’attaquant utilise une version pré-compromise de l’application, manipulant le fichier exécutable afin qu’il ne fonctionne pas tant que l’utilisateur n’exécute pas l’activateur. Cette tactique garantit que les utilisateurs activent les applications compromises sans le savoir.
Après le processus de correction, le malware exécute sa charge utile principale en obtenant l’enregistrement DNS TXT du domaine malveillant et en déchiffrant le script Python du domaine. Le script s’exécute sans cesse en essayant de télécharger l’étape suivante de la chaîne d’infection qui est également un script Python.
Le but de la charge utile suivante est d’exécuter des commandes arbitraires reçues du serveur. Bien qu’aucun ordre n’ait été reçu au cours de l’enquête et porte arrière mis à jour régulièrement, il est évident que la campagne de malware est toujours en développement.
La nouvelle porte dérobée macOS cible les portefeuilles d’actifs cryptographiques
Le code indique que la commande est très probablement un script Python codé.
Outre les fonctions mentionnées, le script contient deux fonctionnalités importantes impliquant le domaine Apple-Analyzer[.]com.
Ces deux fonctions visent à vérifier l’existence d’une application de portefeuille d’actifs cryptographiques et à la remplacer par une version téléchargée depuis le domaine spécifié. Cette tactique semble cibler les portefeuilles Bitcoin et Exodus, transformant ces applications en entités malveillantes.
2024-01-24 19:04:02
1706114985
#Les #pirates #ciblent #les #portefeuilles #dactifs #cryptographiques
