Kaspersky Labs a découvert une nouvelle famille de chevaux de Troie proxy qui ciblent les utilisateurs de macOS et volent leurs portefeuilles Bitcoin et crypto, certains applis crackers circulant sur des sites de piratage et infectés par un cheval de Troie proxy. Les acteurs malveillants ont repackagé des applications pré-crackées comme des fichiers PKG avec un proxy Trojan intégré et un script post-installation initiant l’infection. Nous avons récemment repéré une nouvelle famille de malwares macOS jusqu’alors inconnue qui faisait du covoiturage sur des logiciels crackés. La menace s’est avérée bien plus puissante qu’une simple installation de serveur proxy non autorisée.
Le malware est distribué à travers des logiciels piratés téléchargés depuis des sources non autorisées. Les hackers derrière le malware profitent du fait que les utilisateurs à la recherche d’applis crackées sont plus susceptibles de désactiver la sécurité sur leurs machines et de télécharger des installeurs depuis des sites douteux. Cela facilite leur tromperie des utilisateurs pour installer le malware avec le logiciel piraté.
Le malware cible les versions macOS 13.6 et supérieures. Il accède au mot de passe de sécurité de l’ordinateur de l’utilisateur lorsque celui-ci le saisit dans une boîte d’activation et aux clés privées des portefeuilles crypto lorsque l’utilisateur essaie d’ouvrir des portefeuilles crypto compromis par le malware.
Les chercheurs de Kaspersky ont observé que le malware était encore en développement lorsqu’ils l’ont traqué. Malgré sa méthode basique, le malware est décrit comme “sérieusement ingénieux”. Il comprend un backdoor qui peut exécuter n’importe quels scripts avec des privilèges d’administrateur et remplacer les applications de portefeuille crypto Exodus et Bitcoin par des versions infectées qui volent des phrases secrètes de récupération lors du déverrouillage du portefeuille.
Étape 1. Activator.app
Les échantillons que KAspersky Lab a trouvés pouvaient être exécutés avec succès sur macOS Ventura 13.6 et versions ultérieures, suggérant que les opérateurs ne ciblaient que les utilisateurs des versions les plus récentes du système d’exploitation sur les machines Intel et Apple silicon. Les images disques compromises contiennent un programme nommé “Activator” et l’application que l’utilisateur cherche à installer. L’ouverture/le montage de l’image affichait une fenêtre avec des instructions d’installation.
L’instruction indiquait à l’utilisateur de copier l’application dans /Applications/ puis de lancer Activator. Ce dernier semblait assez rudimentaire : juste un bouton PATCH qui affiche une invite de mot de passe lorsqu’on clique dessus.
Un coup d’œil sous le capot a révélé un fait intéressant immédiatement : l’application dans le dossier Resources contenait d’une manière ou d’une autre un installeur Python 3.9.6 et un fichier Mach-O supplémentaire avec le nom tool. Le fichier Fat Mach-O principal, éloquemment nommé GUI, implémentait essentiellement le bouton PATCH, cliquer dessus lançait deux événements :
- L’installeur Python a été copié dans le répertoire de fichiers temporaires : /tmp/
- L’exécutable tool dans le dossier resources s’est exécuté avec des privilèges d’administrateur. Pour activer cela, Activator a employé la fonction AuthorizationExecuteWithPrivileges maintenant obsolète, qui a fait apparaître la fenêtre avec l’invite de mot de passe admin.
Une fois en cours d’exécution, l’outil vérifiait le système pour une copie de Python 3 installée, et s’il n’en trouvait pas, il installait celle qu’il avait précédemment copiée vers /tmp/. Ensuite, il “patchait” l’application téléchargée avec une séquence codée en dur à l’intérieur d’Activator.
Étape 2. Un téléchargeur
Étape 3. Un backdoor
Étape 4. Le bon vieux cryptostealer
Le voleur de crypto vérifiait alors si l’appareil contenait une application de cryptoportefeuille pertinente, et si oui, il la remplaçait par une téléchargée. Les opérateurs de malware étaient-ils vraiment si “aimables” d’aider leurs victimes à mettre à jour leurs portefeuilles en compensation ? Hélas, il était naïf d’espérer le meilleur : les portefeuilles se sont avérés infectés. Les acteurs malveillants avaient – par exemple – infecté Exodus en intégrant leur “créature” directement au début de l’application.
Les applications crackées susmentionnées sont l’un des moyens les plus simples pour les acteurs malveillants d’accéder aux ordinateurs des utilisateurs. Pour élever leurs privilèges, ils n’ont qu’à demander le mot de passe, ce qui ne cause généralement aucun soupçon chez les utilisateurs pendant l’installation d’un logiciel. Cela dit, certaines des choses que les auteurs de la campagne de malwares avaient imaginées, comme placer le script Python à l’intérieur d’un enregistrement TXT de domaine sur le serveur DNS, étaient ingénieuses. Le script a ensuite été ajouté aux agents de démarrage pour télécharger et exécuter la charge utile de la prochaine étape en boucle infinie, ce qui a permis aux opérateurs de malware de délivrer des mises à jour à la machine infectée. La charge utile finale était un backdoor qui pouvait exécuter n’importe quels scripts avec des privilèges d’administrateur, et remplacer les applications de portefeuille cryptographique Exodus et Bitcoin installées sur la machine par des versions infectées qui volaient les phrases secrètes de récupération dès que le portefeuille était déverrouillé.
Pour éviter de devenir victime de cette campagne de malwares, Kaspersky recommande d’utiliser des sites Web de confiance, de maintenir le système d’exploitation de l’ordinateur à jour et d’utiliser une solution de sécurité sur la machine.
Les chercheurs ont également noté que d’autres techniques utilisées par les hackers consistent à déguiser les malwares en portefeuilles légitimes sur les boutiques en ligne ou les faux sites Web. Cette activité est devenue si commune que le Bureau fédéral d’enquête (FBI) des États-Unis a émis un avertissement à ce sujet.