Les pirates utilisent une méthode furtive pour fournir des informations aux utilisateurs de Mac OS-voler des logiciels malveillants via des enregistrements DNS qui cachent des scripts malveillants.
La campagne semble destinée aux utilisateurs de macOS Ventura et versions ultérieures et repose sur des applications fissurées reconditionnées sous forme de fichiers PKG contenant un cheval de Troie.
Détails de l’attaque
Des chercheurs de la société de cybersécurité Kaspersky ont découvert la campagne et analysé les étapes de la chaîne d’infection.
Les victimes téléchargent et exécutent le logiciel malveillant après avoir suivi les instructions d’installation pour le placer dans le dossier /Applications/, en supposant qu’il s’agisse d’un activateur pour l’application fissurée qu’elles avaient téléchargée.
Cela ouvre une fausse fenêtre d’activation qui demande le mot de passe administrateur.
Avec l’autorisation accordée, le logiciel malveillant exécute un exécutable « outil » (Mach-O) via la fonction « AuthorizationExecuteWithPrivileges », puis recherche Python 3 sur le système et l’installe s’il n’est pas présent, ce qui fait apparaître le processus comme un « correctif d’application ». »
Ensuite, le malware contacte son serveur de commande et de contrôle (C2), sur un site trompeusement nommé » apple-health[.] org, » pour récupérer un script Python codé en base64 qui peut exécuter des commandes arbitraires sur le périphérique violé.
Les chercheurs ont découvert que l’attaquant utilisait une méthode intéressante pour contacter le serveur C2 à la bonne URL: des mots provenant de deux listes codées en dur et une séquence aléatoire de cinq lettres en tant que nom de domaine de troisième niveau.
« Avec cette URL, l’exemple a envoyé une requête à un serveur DNS pour tenter d’obtenir un enregistrement TXT pour le domaine » – Kaspersky
En utilisant cette méthode, l’auteur de la menace a pu masquer son activité dans le trafic et télécharger la charge utile du script Python déguisée en enregistrements TXT à partir du serveur DNS, qui apparaîtraient comme des requêtes normales.
La réponse du serveur DNS contenait trois enregistrements TXT, chacun un fragment codé en base64 d’un message crypté AES contenant le script Python.
Ce script Python initial a agi en tant que téléchargeur pour un autre script Python qui fournit un accès par porte dérobée, rassemble et transmet des informations sur le système infecté, telles que la version du système d’exploitation, les listes de répertoires, les applications installées, le type de processeur et l’adresse IP externe.
L’exécutable ‘tool’ modifie également ‘ / Library/LaunchAgents / launched.< id utilisateur>.plist ‘ pour établir la persistance du script entre les redémarrages du système.
Kaspersky note que lors de leur examen, le C2 a renvoyé des versions mises à niveau du script de porte dérobée, indiquant un développement continu, mais n’a pas observé l’exécution de la commande, donc cela n’a peut-être pas encore été implémenté.
Le script téléchargé contient également deux fonctions qui vérifient la présence de portefeuilles Bitcoin Core et Exodus sur le système infecté; s’il est trouvé, il les remplace par des copies backdoor téléchargées à partir de ‘ apple-analyzer[.] com.’
Les portefeuilles lacés contiennent du code qui envoie la phrase de départ, le mot de passe, le nom et le solde au serveur C2 de l’attaquant.
Les utilisateurs qui ne se méfient pas lorsque leur application de portefeuille les invite de manière inattendue à saisir à nouveau les détails de leur portefeuille et à fournir ces informations courent le risque de se faire vider leur portefeuille.
Les chercheurs de Kaspersky affirment que les applications piratées utilisées pour cette campagne (disponibles dans leur rapport en tant qu’indicateurs de compromission) « sont l’un des moyens les plus faciles pour les acteurs malveillants d’accéder aux ordinateurs des utilisateurs. »
Bien que tromper les utilisateurs avec des applications piratées pour diffuser des logiciels malveillants soit une avenue d’attaque courante, la campagne analysée par Kaspersky montre que les auteurs de menaces peuvent être suffisamment ingénieux pour proposer de nouvelles façons de diffuser la charge utile,comme la cacher dans un enregistrement TXT de domaine sur un serveur DNS.