La campagne macOS Malware présente une nouvelle technique de livraison

La campagne macOS Malware présente une nouvelle technique de livraison

Horodatage: 2 février 2024 3:03
La campagne macOS Malware présente une nouvelle technique de livraison PlatoBlockchain Data Intelligence. Recherche verticale. Aï.

Les chercheurs en sécurité ont tiré la sonnette d'alarme sur une nouvelle campagne de cyberattaque utilisant des copies crackées de logiciels populaires pour distribuer une porte dérobée aux utilisateurs de macOS.

Qu'est-ce qui différencie la campagne de nombreuses autres campagnes qui ont employé une tactique similaire, comme celle rapportée juste plus tôt ce mois-ci ? impliquant des sites Web chinois - est son ampleur et sa nouvelle technique de livraison de charge utile à plusieurs étapes. Il convient également de noter l'utilisation par les acteurs malveillants d'applications macOS crackées avec des titres susceptibles d'intéresser les utilisateurs professionnels, de sorte que les organisations qui ne limitent pas ce que les utilisateurs téléchargent peuvent également être en danger.

Kaspersky a été le premier à découvrir et signaler sur la porte dérobée d'Activator macOS en janvier 2024. Une analyse ultérieure de l'activité malveillante par SentinelOne a montré que le malware était «courir à travers des torrents d'applications macOS», selon le fournisseur de sécurité.

"Nos données sont basées sur le nombre et la fréquence d'échantillons uniques apparus sur VirusTotal", explique Phil Stokes, chercheur en menaces chez SentinelOne. "En janvier, depuis la découverte de ce malware, nous en avons vu plus d'échantillons uniques que tout autre malware macOS que nous avons [suivi] sur la même période."

Le nombre d'échantillons de la porte dérobée Activator observés par SentinelOne est supérieur au volume de chargeurs de logiciels publicitaires et de bundles macOS (pensez à Adload et Pirrit) pris en charge par les grands réseaux d'affiliation, explique Stokes. "Bien que nous n'ayons aucune donnée permettant de corréler cela avec les appareils infectés, le taux de téléchargements uniques vers VT et la variété d'applications différentes utilisées comme leurres suggèrent que les infections dans la nature seront importantes."

Créer un botnet macOS ?

Une explication potentielle de l’ampleur de cette activité est que l’auteur de la menace tente de créer un botnet macOS, mais cela ne reste qu’une hypothèse pour le moment, explique Stokes.

L’acteur malveillant à l’origine de la campagne Activator utilise jusqu’à 70 applications macOS crackées uniques – ou applications « gratuites » dont la protection contre la copie a été supprimée – pour distribuer le malware. De nombreuses applications piratées contiennent des titres axés sur les entreprises qui pourraient intéresser les personnes travaillant en milieu de travail. Un échantillon : Snag It, Nisus Writer Express et Rhino-8, un outil de modélisation de surface pour l'ingénierie, l'architecture, la conception automobile et d'autres cas d'utilisation.

"Il existe de nombreux outils utiles à des fins professionnelles qui sont utilisés comme leurres par macOS.Bkdr.Activator", explique Stokes. "Les employeurs qui ne limitent pas les logiciels que les utilisateurs peuvent télécharger pourraient courir un risque de compromis si un utilisateur télécharge une application infectée par la porte dérobée."

Les acteurs malveillants qui cherchent à distribuer des logiciels malveillants via des applications piratées intègrent généralement le code malveillant et les portes dérobées dans l'application elle-même. Dans le cas d’Activator, l’attaquant a employé une stratégie quelque peu différente pour ouvrir la porte dérobée.  

Méthode de livraison différente

Contrairement à de nombreuses menaces de logiciels malveillants macOS, Activator n'infecte pas réellement le logiciel piraté lui-même, explique Stokes. Au lieu de cela, les utilisateurs obtiennent une version inutilisable de l’application crackée qu’ils souhaitent télécharger et une application « Activateur » contenant deux exécutables malveillants. Les utilisateurs sont invités à copier les deux applications dans le dossier Applications et à exécuter l'application Activator.

L'application demande ensuite à l'utilisateur le mot de passe administrateur, qu'elle utilise ensuite pour désactiver les paramètres Gatekeeper de macOS afin que les applications extérieures à la boutique d'applications officielle d'Apple puissent désormais s'exécuter sur l'appareil. Le logiciel malveillant lance ensuite une série d'actions malveillantes qui finissent par désactiver les paramètres de notification du système et installer un agent de lancement sur l'appareil, entre autres. La porte dérobée Activator elle-même est un programme d'installation et de téléchargement de première étape pour d'autres logiciels malveillants.

Le processus de livraison en plusieurs étapes « fournit à l'utilisateur le logiciel piraté, mais détourne la victime pendant le processus d'installation », explique Stokes. "Cela signifie que même si l'utilisateur décide par la suite de supprimer le logiciel piraté, l'infection ne sera pas supprimée."

Sergey Puzan, analyste des logiciels malveillants chez Kaspersky, souligne un autre aspect remarquable de la campagne Activator. "Cette campagne utilise une porte dérobée Python qui n'apparaît pas du tout sur le disque et est lancée directement à partir du script de chargement", explique Puzan. "L'utilisation de scripts Python sans aucun 'compilateur' tel que pyinstaller est un peu plus délicate car elle oblige les attaquants à utiliser un interpréteur Python à un moment donné de l'attaque ou à s'assurer que la victime dispose d'une version Python compatible installée."

Puzan estime également que l’un des objectifs potentiels de l’acteur menaçant derrière cette campagne est de créer un botnet macOS. Mais depuis le rapport de Kaspersky sur la campagne Activator, l'entreprise n'a observé aucune activité supplémentaire, ajoute-t-il.

Horodatage:

Plus de Lecture sombre