Les cybercriminels ciblent les utilisateurs de Mac avec un nouveau malware cheval de Troie proxy associé à un logiciel macOS populaire et protégé par le droit d’auteur, proposé sur les sites Warez.
Les chevaux de Troie proxy infectent les ordinateurs et les transforment en terminaux de transfert de trafic utilisés pour anonymiser les activités malveillantes ou illégales telles que le piratage, le phishing et les transactions de biens illicites.
La vente d’accès à des proxys est un business lucratif qui a donné naissance à des botnets massifs, les appareils Mac n’étant pas épargnés par cette activité généralisée.
La dernière campagne poussant des logiciels malveillants proxy a été découverte par Kaspersky, qui rapporte que la première soumission de la charge utile sur VirusTotal date du 28 avril 2023.
Livré avec des warez populaires
La campagne profite de la volonté des gens de risquer la sécurité de leur ordinateur pour éviter de payer pour des applications premium.
Kaspersky a trouvé 35 outils d’édition d’images, de compression et d’édition vidéo, de récupération de données et d’analyse réseau associés au cheval de Troie proxy pour appâter les utilisateurs à la recherche de versions gratuites de logiciels commerciaux.
Les logiciels trojanisés les plus populaires dans cette campagne sont :
- 4K Video Donwloader Pro
- Aissessoft Mac Data Recovery
- Aiseesoft Mac Video Converter Ultimate
- AnyMP4 Android Data Recovery for Mac
- Downie 4
- FonePaw Data Recovery
- Sketch
- Wondershare UniConverter 13
- SQLPro Studio
- Artstudio Pro
Kaspersky affirme que contrairement aux logiciels légitimes, qui sont distribués sous forme d’images disque, les versions trojanisées sont téléchargées sous forme de fichiers PKG.
Comparés aux fichiers d’image disque, qui constituent le support d’installation standard de ces programmes, les fichiers PKG sont beaucoup plus risqués car ils peuvent exécuter des scripts lors de l’installation de l’application.
Étant donné que les fichiers d’installation sont exécutés avec des droits d’administrateur, tous les scripts qu’ils exécutent obtiennent les mêmes autorisations lors de l’exécution d’actions dangereuses, notamment la modification de fichiers, l’exécution automatique de fichiers et l’exécution de commandes.
Dans ce cas, les scripts intégrés sont activés après l’installation du programme pour exécuter le cheval de Troie, un fichier WindowServer, et le faire apparaître comme un processus système.
WindowServer est un processus système légitime dans macOS chargé de gérer l’interface utilisateur graphique. Le cheval de Troie vise donc à se fondre dans les opérations système de routine et à échapper au contrôle des utilisateurs.
Le fichier chargé de lancer WindowServer au démarrage du système d’exploitation est nommé « GoogleHelperUpdater.plist », imitant un fichier de configuration de Google, encore une fois, dans le but d’être ignoré par l’utilisateur.
Au lancement, le cheval de Troie se connecte à son serveur C2 (commande et contrôle) via DNS-over-HTTPS (DoH) pour recevoir les commandes relatives à son fonctionnement.
Kaspersky n’a pas pu observer ces commandes en action, mais après analyse, il a déduit que le client prend en charge la création de connexions TCP ou UDP pour faciliter le proxy.
En plus de la campagne macOS utilisant des PKG, la même infrastructure C2 héberge des charges utiles de chevaux de Troie proxy pour les architectures Android et Windows, de sorte que les mêmes opérateurs ciblent probablement un large éventail de systèmes.