Security Bite : une souche de malware macOS autodestructrice déguisée en application Mac légitime

Security Bite : une souche de malware macOS autodestructrice déguisée en application Mac légitime

Les chercheurs en sécurité de Moonlock, l’aile relativement nouvelle de cybersécurité de MacPaw, ont détecté une nouvelle souche de malware macOS déguisée en application Mac légitime qui peut se détruire dans certaines conditions. Dans le pire des cas, il peut extraire sans le savoir les cookies de Safari et Chrome, les contacts du carnet d’adresses et les mots de passe des gestionnaires de mots de passe installés. Rencontrez Empire Transfer…


Netcost-security.fr Security Bite vous est présenté exclusivement par Mosyle, la seule plateforme unifiée Apple. Rendre les appareils Apple prêts au travail et sécurisés pour l’entreprise est tout ce que nous faisons. Notre approche intégrée unique en matière de gestion et de sécurité combine des solutions de sécurité de pointe spécifiques à Apple pour un renforcement et une conformité entièrement automatisés, un EDR de nouvelle génération, un Zero Trust basé sur l’IA et une gestion exclusive des privilèges avec le MDM Apple le plus puissant et le plus moderne. sur le marché. Le résultat est une plateforme unifiée Apple entièrement automatisée, actuellement utilisée par plus de 45 000 organisations pour rendre des millions d’appareils Apple prêts à fonctionner sans effort et à un coût abordable. Demandez votre ESSAI PROLONGÉ aujourd’hui et comprenez pourquoi Mosyle est tout ce dont vous avez besoin pour travailler avec Apple.


Security Bite est votre chronique hebdomadaire axée sur la sécurité sur Netcost-security.fr. Chaque dimanche, Arin Waichulis fournit des informations sur la confidentialité des données, découvre les vulnérabilités et met en lumière les menaces émergentes au sein du vaste écosystème d’Apple de plus de 2 milliards d’appareils actifs. Restez en sécurité, restez en sécurité.

Security Bite utilisez ces fonctionnalites de confidentialite et de securite

Comme je l’ai signalé dans l’édition de Security Bite de la semaine dernière, les logiciels malveillants spécialement conçus pour cibler macOS continuent de gagner en popularité à mesure que de plus en plus de personnes se tournent vers Mac. L’année dernière, 21 nouvelles familles de logiciels malveillants ont été découvertes, soit une hausse de 50 % par rapport à 2022.

Moonlock Lab a déclaré à Netcost-security.fr avoir découvert la nouvelle souche de malware via une application sur VirusTotal lors de la recherche d’échantillons. Composé d’environ 70 moteurs antivirus, VirusTotal est largement utilisé par les professionnels pour analyser les fichiers et les URL suspects afin de déterminer s’ils contiennent des logiciels malveillants. D’un autre côté, les criminels utilisent souvent le service pour déterminer si leurs applications malveillantes peuvent être facilement détectées.

Selon le nouveau rapport de Moonlock Lab, un fichier nommé Empire Transfer 12.3.23.dmg est apparu pour la première fois sur VirusTotal en décembre de l’année dernière, soupçonné d’avoir été téléchargé par le ou les acteurs malveillants. Il a passé tous les scanners, apparaissant comme une application légitime et utilisant la marque EMPIRE (@EMPIRE on X), un label bien connu ayant des liens avec Kendrick Lamar, Snoop Dogg et d’autres.

« Une approche assez standard pour nommer les logiciels malveillants consiste à utiliser des noms génériques ou des consonnes », explique Moonlock. « Pour ce faire, les mauvais acteurs utilisent un nom et un logo faciles à utiliser sur Google afin d’induire l’utilisateur en erreur. Hormis le nom et le symbole de la marque affichés lors de l’installation du programme via dmg, aucun lien vers [the real] EMPIRE ont été trouvés.

Capture d’écran des détections d’Empire Transfer 12.3.23.dmg dans VirusTotal et de la bannière suspecte :

Empire Transfer est un type de cheval de Troie malveillant connu sous le nom de voleur d’informations. Ceux-ci sont conçus pour faire précisément ce que leur nom suggère : recueillir autant d’informations sensibles que possible auprès d’un utilisateur infecté, généralement sans être détectés. Un fichier, qui contient généralement des mots de passe, des informations de carte de crédit, des contacts ou des clés de crypto-monnaie, est renvoyé à l’acteur malveillant par e-mail ou par connexion à distance.

Comment ça fonctionne

Le DMG contient un fichier créé avec PyInstaller appelé « Engineer Documents ». À l’intérieur, le code basé sur Python fonctionne comme l’épine dorsale de l’application Empire Transfer, créant plus d’une douzaine de processus une fois exécutés. « Ce fichier n’est pas non plus détecté par VT », explique Moonlock. Cela indique un code totalement nouveau qui n’a pas encore été vu par VirusTotal ou ses scanners.

« Une enquête plus approfondie a révélé qu’Empire Transfer 12.3.23.dmg déploie diverses techniques pour exécuter ses actions malveillantes, notamment le lancement d’AppleScript via l’outil ‘osascript’ pour inciter les utilisateurs à révéler leurs mots de passe. »

En plus de cibler les gestionnaires de mots de passe (ou portefeuilles) installés localement, le malware va plus loin en extrayant les cookies et les contacts Safari et Chrome du carnet d’adresses. Vous trouverez ci-dessous des extraits de code expliquant le fonctionnement de chacun des processus :

Exemple de code de malware Moonlock Empire Transfer
Extrait de code montrant comment un malware vole les cookies de Safari et Chrome. via le laboratoire Moonlock
1709232035 319 Security Bite une souche de malware macOS autodestructrice deguisee en
Comment il extrait les informations de contact du carnet d’adresses. via le laboratoire Moonlock
voleur de mot de passe malware échantillon de code macos moonlock macpaw
Extrait de code montrant comment le malware récupère les données de divers portefeuilles de mots de passe. via le laboratoire Moonlock

Moonlock Lab estime qu’Empire Transfer partage des caractéristiques étroitement liées à AMOS, mieux connu sous le nom d’Atomic Stealer. Une autre souche de voleur d’informations qui a commencé à cibler les mots de passe du trousseau iCloud au début de l’année dernière.

Cependant, la variété introduit des variations intéressantes qui améliorent ses capacités au-delà de ce que pourrait faire Atomic Stealer. « Notamment, le malware inclut plusieurs fichiers dans le DMG, dont un fichier Mach-O emballé à l’aide de PyInstaller. Cette diversification dans la méthodologie d’attaque suggère une évolution et une adaptation continues de la part des acteurs de la menace pour garder une longueur d’avance sur les mécanismes de détection », indique le rapport.

De plus, le fichier Mach-O d’Empire Transfer déploie des techniques anti-virtualisation qui peuvent déclencher le « suicide » du code s’il détecte qu’il se trouve dans un environnement non Apple, comme VirtualBox ou VMWare. Il s’agit d’une technique assez sophistiquée conçue par les auteurs de logiciels malveillants pour échapper à la détection et empêcher les investigations médico-légales menées par les chercheurs en sécurité. « Ces tactiques visent à détecter la présence de machines virtuelles, ajoutant ainsi une couche supplémentaire d’évasion à l’arsenal des logiciels malveillants. »

Voici à quoi cela ressemble :

1709232035 798 Security Bite une souche de malware macOS autodestructrice deguisee en
Extrait de code montrant comment les logiciels malveillants se tuent sur les systèmes non Mac. via le laboratoire Moonlock

Indicateurs de compromis :

Comment se protéger contre les voleurs d’informations et autres logiciels malveillants

Alors que seulement 6 % environ de tous les logiciels malveillants ciblent les utilisateurs de Mac, les acteurs malveillants ciblent plus que jamais macOS activement, et il est important de rester vigilant.

Même si vous connaissez peut-être déjà bon nombre de ces conseils, je pense qu’il est important de les régurgiter à nouveau pour le grand public.

  • Faites preuve de diligence raisonnable avant d’installer quoi que ce soit en dehors du Mac App Store officiel
  • Survolez et confirmez les liens avant de les ouvrir
  • Utilisez des mots de passe forts et complexes et une authentification en 2 étapes (sans SMs si possible, OTP est préférable)
  • Soyez prudent lorsque vous accordez des autorisations sur votre Mac
  • Gardez vos appareils et applications à jour

Comment vérifier votre Mac pour les logiciels malveillants

Si vous souhaitez effectuer une vérification approfondie de votre Mac, consultez ce guide de mon collègue Michael Potuck ci-dessous :

Suivre Arin: Twitter/XLinkedIn, Discussions


Envie de vous détendre un peu ? Voici un reportage très intéressant sur l’intelligence artificielle :

YouTube video