Un cheval de Troie menace les crypto-monnaies des utilisateurs de macOS

Kaspersky découvert un logiciel malveillant qui cible les crypto-monnaies des utilisateurs de macOS stockées dans les portefeuilles numériques. Contrairement aux chevaux de Troie proxy précédemment identifiés par Kaspersky, cette nouvelle menace se concentre sur eux compromis.

Volez la phrase secrète pour accéder aux crypto-monnaies

Ce cheval de Troie crypto est unique à deux égards. Premièrement, il utilise les enregistrements DNS pour diffuser son script Python malveillant. Deuxièmement, il ne vole pas seulement les portefeuilles de crypto-monnaie, mais remplaçant l’application portefeuille avec sa propre version infectée.

Un cheval de Troie menace les cryptomonnaies

Cela lui permet de voler la phrase secrète utilisée pour accéder aux crypto-monnaies stockées dans les portefeuilles. Le malware cible les versions macOS 13.6 et ultérieures, indiquant une attention particulière aux utilisateurs de systèmes d’exploitation plus récents, à la fois sur les appareils Intel et Apple Silicon. Les images disque compromises contiennent un « activateur » et l’application recherchée. L’activateurapparemment inoffensif, active l’application compromise après avoir saisi le mot de passe de l’utilisateur.

Le rôle inconscient de l’utilisateur

Les attaquants utilisent des versions pré-compromises de l’application, manipulant les fichiers exécutables pour les rendre non fonctionnels jusqu’à ce que l’utilisateur exécute le activateur. Cette tactique garantit que l’utilisateur active sans le savoir l’application compromise. Après le processus de mise à jour des correctifs, le malware exécute sa charge utile principale en obtenant un enregistrement DNS TXT pour un domaine malveillant et en déchiffrant un script Python. Le script s’exécute sans cesse en essayant de décharger la prochaine étape de la chaîne d’infection, composée également d’un script Python.

Utilisateurs de macOS : attention, un cheval de Troie menace les cryptomonnaies

Lo portée de la charge utile suivante consiste à exécuter des commandes arbitraires reçues du serveur. Bien qu’aucun ordre n’ait été reçu au cours de l’enquête et porte arrière a été mis à jour régulièrement, il est évident que la campagne de malware est toujours en développement. Le code suggère que les commandes sont probablement des scripts Python codés en dur.

Les différentes fonctions

En plus des fonctionnalités mentionnées, le script contient deux fonctionnalités notables impliquant le domaine Apple-Analyzer[.]com. Les deux fonctions visent à vérifier la présence des applications de portefeuille de crypto-monnaie et remplacez-les par des versions téléchargées à partir du domaine spécifié. Il a été observé que cette tactique cible à la fois les portefeuilles Bitcoin et Exodus, transformant ces applications en entités malveillantes.

Une créativité hors du commun

Sergey Puzan, chercheur en sécurité chez Kaspersky
Les malwares macOS liés aux logiciels piratés mettent en évidence de sérieux risques. Les cybercriminels utilisent des applications piratées pour accéder facilement aux ordinateurs des utilisateurs et obtenir privilèges administrateur en lui demandant de saisir son mot de passe. Les créateurs font preuve d’une créativité hors du commun en cachant un script Python dans un enregistrement du serveur DNS, augmentant ainsi le niveau de furtivité du malware dans le trafic réseau. Les utilisateurs doivent être très prudents, notamment avec leurs portefeuilles de cryptomonnaies. Évitez de télécharger à partir de sites suspects et utilisez des solutions de cybersécurité fiables pour une meilleure protection »

Comment se protéger des chevaux de Troie

Protéger vos actifs cryptographiques, les chercheurs de Kaspersky recommandent :

• téléchargez des applications uniquement à partir des magasins officiels tels que l’App Store d’Apple. Les applications sur ces places de marché ne sont pas sûres à 100 %, mais au moins elles sont vérifiées par les gérants des magasins et il existe un système de filtrage. En fait, toutes les applications ne peuvent pas accéder à ces magasins.
• À installer une solution de sécurité fiable et suivez ses recommandations. Des solutions sûres résoudront automatiquement la plupart des problèmes et vous alerteront si nécessaire.
• Mise à jour le système d’exploitation et les applications importantes dès que des mises à jour sont disponibles.
• Protéger la phrase d’ouverture. Lors de la configuration de votre portefeuille matériel, il est important de vous assurer de noter et Memoriser la phrase d’ouverture en toute sécurité. Une solution fiable, telle que Kaspersky Premium, protégera les données cryptées stockées sur votre appareil mobile ou votre PC.
• Utiliser un mot de passe fort. Évitez d’utiliser des mots de passe faciles à deviner ou de réutiliser ceux d’autres comptes. Pour gérer les mots de passe de manière efficace et sécurisée, il est important d’envisager d’utiliser Kaspersky Password Manager.