Des chercheurs en sécurité ont détecté une campagne de phishing orchestrée par des hackers nord-coréens visant les utilisateurs de Mac. Un malware, « BeaverTail », a été camouflé sous une fausse application de visioconférence, volant des informations sensibles telles que des identifiants iCloud et permettant le contrôle à distance des appareils infectés.
Netcost-security.fr Security Bite vous est exclusivement proposé par Mosyle, la seule plateforme unifiée d’Apple. Notre mission est de rendre les appareils Apple opérationnels et sûrs pour l’entreprise. Notre approche intégrée unique en matière de gestion et de sécurité associe des solutions de sécurité de pointe spécifiques à Apple pour un renforcement et une conformité entièrement automatisés, une EDR de nouvelle génération, une confiance zéro basée sur l’IA et une gestion exclusive des privilèges avec la solution MDM Apple la plus puissante et la plus moderne du marché. Le résultat est une plate-forme unifiée Apple entièrement automatisée à laquelle font actuellement confiance plus de 45 000 organisations pour rendre des millions d’appareils Apple opérationnels sans effort et à un coût abordable. Demandez votre ESSAI PROLONGÉ aujourd’hui et comprenez pourquoi Mosyle est tout ce dont vous avez besoin pour travailler avec Apple.
Des chercheurs en sécurité ont identifié une tentative de pirates informatiques parrainés par l’État nord-coréen (RPDC) visant à cibler les utilisateurs de Mac avec un logiciel malveillant de vol d’informations via une application de réunion trojanisée.
Une fois infecté, le malware établissait une connexion entre le Mac et le serveur de commande et de contrôle (C2) de l’attaquant pour exfiltrer des données sensibles comme les identifiants du trousseau iCloud. Il installait également discrètement l’application de bureau à distance AnyDesk et un logiciel d’enregistrement de frappe en arrière-plan pour prendre le contrôle des machines et collecter les frappes au clavier.
Le malware, une nouvelle variante d’une souche connue surnommée « BeaverTail », a été signalé pour la première fois par MalwareHunterTeam via un message sur X. Alors que BeaverTail était un voleur d’informations JavaScript existant découvert en 2023, il semble maintenant avoir été retravaillé pour cibler les utilisateurs de Mac avec une image de disque malveillante intitulée « MicroTalk.dmg ».
Patrick Wardle, chercheur en sécurité et auteur, a analysé le malware dans un article de blog assez complet et au titre hilarant sur Objective-See. Wardle a découvert que les pirates se faisaient très probablement passer pour des recruteurs, incitant les victimes à télécharger ce qui semblait être la plateforme de visioconférence légitime MiroTalk, qui fait allusion au nom de fichier image disque « MicroTalk.dmg », mais qui était en réalité un clone contenant un malware caché.
À propos Morsure de sécurité: Security Bite est une chronique hebdomadaire axée sur la sécurité sur Netcost-security.fr. Chaque semaine,Arin Waichulis fournit des informations sur la confidentialité des données, révèle les vulnérabilités et met en lumière les menaces émergentes au sein du vaste écosystème d’Apple, qui compte plus de 2 milliards d’appareils actifs.
Ce ne serait pas la première fois que des hackers nord-coréens se font passer pour des recruteurs pour cibler leurs victimes. Le tristement célèbre groupe de recherche Unit42 de Palo Alto Network a récemment publié un article similaire intitulé : « Hacking Employers and Seeking Employment: Two Job-Related Campaigns Bear Hallmarks of North Korean Threat Actors » (Piratage d’employeurs et recherche d’emploi : deux campagnes liées à l’emploi portent les caractéristiques des acteurs de la menace nord-coréenne).
Selon l’analyse de Wardle, le clone malveillant de MicroTalk contenant le malware n’est pas signé ou n’a pas été enregistré auprès d’Apple par un développeur identifié, donc macOS Gatekeeper empêchera l’exécution de l’application. Cependant, les utilisateurs peuvent contourner le blocage en cliquant avec le bouton droit de la souris et en cliquant sur « Ouvrir » dans le menu contextuel.
Gatekeeper est un casse-tête courant pour les cybercriminels qui ciblent les utilisateurs Mac. En réalité, il est devenu une nuisance si efficace que dans certains cas, ils demandent à l’utilisateur d’ouvrir l’application malveillante de la manière « correcte » (c’est-à-dire en cliquant avec le bouton droit de la souris et en appuyant sur « Ouvrir ») au lieu de double-cliquer.
Une fois infecté, le malware communique avec les serveurs C2 pour télécharger et extraire des données, notamment les identifiants iCould KeyChain et les identifiants d’extension de navigateur des portefeuilles de cryptomonnaies les plus populaires, qui peuvent être utilisés pour voler des clés privées et des phrases mnémotechniques. Le plus difficile à comprendre, cependant, c’est que lorsque le malware a été découvert la semaine dernière, il a pu passer à travers les scanners antivirus, comme VirusTotal, sans être détecté. Les cybercriminels téléchargent leurs exécutables sur des plateformes comme VirusTotal pour s’assurer que les aspects malveillants sont suffisamment bien cachés pour ne pas être détectés par les scanners les plus populaires. L’inconvénient est que les « bons » peuvent également les voir.
« Plus précisément, à partir de la sortie du symbole, nous voyons les noms des méthodes (fileUpload, pDownFinished, run) qui révèlent des capacités probables d’exfiltration et de téléchargement et d’exécution », selon le billet de blog d’Ojective-See.
« Et à partir des chaînes intégrées, nous voyons à la fois l’adresse du serveur de commande et de contrôle probable, 95.164.17.24:1224 et donne également des indices sur le type d’informations que le logiciel malveillant collecte pour l’exfiltration. En particulier les identifiants d’extension de navigateur des portefeuilles de crypto-monnaies les plus populaires, les chemins d’accès aux données des navigateurs des utilisateurs et le trousseau macOS. D’autres chaînes sont liées au téléchargement et à l’exécution de charges utiles supplémentaires qui semblent être des scripts Python malveillants.
En fin de compte, je ne serais pas surpris qu’il s’agisse de l’œuvre de BlueNoroff, un sous-groupe de la célèbre entreprise de cybercriminalité de l’État-nation, le groupe Lazarus. Il existe plusieurs cas distinctifs où BlueNoroff a souvent contacté des victimes potentielles sous le déguisement d’un investisseur ou d’un chasseur de têtes d’entreprise. Si cela ressemble à un canard, nage comme un canard et cancane comme un canard, alors c’est probablement un canard.
Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :
