Les auteurs de menaces nord-coréens ciblent les systèmes Apple macOS à l’aide d’applications de bloc-notes trojan et de jeux de démineur créés avec Flutter, qui sont signés et notariés par un identifiant de développeur Apple légitime.
Cela signifie que les applications malveillantes, même temporairement, ont réussi les contrôles de sécurité d’Apple, de sorte que les systèmes macOS les traitent comme vérifiées et leur permettent de s’exécuter sans restrictions.
Les noms des applications sont centrés sur des thèmes de crypto-monnaie, ce qui correspond aux intérêts des pirates nord-coréens en matière de vol financier.
Selon Jamf Threat Labs, qui a découvert l’activité, la campagne ressemble plus à une expérience sur la façon de contourner la sécurité de macOS qu’à une opération à part entière et hautement ciblée.
Applications notariées se connectant aux serveurs de la RPDC
À partir de novembre 2024, Jamf a découvert plusieurs applications sur VirusTotal qui semblaient totalement inoffensives pour toutes les analyses audiovisuelles, mais présentaient la fonctionnalité « stage one », se connectant à des serveurs associés à des acteurs nord-coréens.
Toutes les applications ont été conçues pour macOS à l’aide du framework Flutter de Google, qui permet aux développeurs de créer des applications compilées nativement pour différents systèmes d’exploitation à l’aide d’une seule base de code écrite dans le langage de programmation Dart.
« Il n’est pas rare que des acteurs intègrent des logiciels malveillants dans une application basée sur Flutter, cependant, c’est la première fois que nous voyons cet attaquant l’utiliser pour s’attaquer aux appareils macOS », expliquent les chercheurs de Jamf Ferdous Saljooki et Jaron Bradley.
Cette approche donne non seulement de la polyvalence aux auteurs de logiciels malveillants, mais rend également le code malveillant plus difficile à détecter car il est intégré dans une bibliothèque dynamique (dylib), qui est chargée par le moteur Flutter au moment de l’exécution.
Après une analyse plus approfondie de l’une des applications basées sur Flutter, nommée » Nouvelles mises à jour dans Crypto Exchange (2024-08-28).app’, Jamf a découvert que le code obscurci dans dylib prenait en charge l’exécution d’AppleScript, lui permettant d’exécuter des scripts envoyés depuis un serveur de commande et de contrôle (C2).
L’application ouvre un jeu de dragueur de mines pour mac OS, dont le code est disponible gratuitement sur GitHub.
Cinq des six applications malveillantes découvertes par Jamf étaient signées à l’aide d’un identifiant de développeur légitime, et le logiciel malveillant avait réussi la légalisation, ce qui signifie que les applications ont été analysées par les systèmes automatisés d’Apple et jugées sûres.
Jamf a également découvert des variantes basées sur Golang et Python, nommées » Nouvelle ère pour les pièces stables et DeFi, Efi (protégé).application ‘ et ‘ Coureur.app, » avec ce dernier présenté comme une simple application de bloc-notes.
Les deux ont fait des demandes de réseau à un domaine connu lié à la RPDC, » mbupdate. linkpc[.] net, ‘ et fonctionnalités d’exécution de script en vedette.
Apple a depuis révoqué les signatures des applications découvertes par Jamf, de sorte qu’elles ne contourneront pas les défenses du contrôleur d’accès si elles sont chargées sur un système macOS à jour.
Cependant, il n’est pas clair si ces applications ont déjà été utilisées dans des opérations réelles ou uniquement dans des tests « dans la nature » pour évaluer les techniques de contournement des logiciels de sécurité.
Le fait qu’il existe plusieurs variantes des mêmes applications sous-jacentes soutient cette théorie, mais pour l’instant, les spécificités de cette opération restent inconnues.