Cette découverte a été signalée par Dinesh Devadoss de K7 Computing à l’expert en sécurité Mac Patrick Wardle, lequel a immédiatement mis en évidence des similitudes avec des attaques précédentes.
La première d’entre elles, datant de 2018, concernait le malware “Apple.Jeus”, qui utilisait également une application de trading de cryptomonnaie pour attirer des cibles de premier choix afin de voler des cryptocoins.
En octobre 2019, les hackers sont revenus avec un nouveau cheval de Troie de type backdoor qui se propageait en utilisant la même approche : à savoir une application de cryptomonnaie, publiée sur GitHub, et à télécharger par les victimes.
Pour que ces applications donnent une impression d’authenticité, les deux campagnes ont utilisé la ruse qui consiste à créer de fausses entreprises d’édition de logiciels à l’aide de certificats légitimes.
Ces deux cyberattaques étaient liées à priori au groupe nord-coréen Lazarus, largement accusé d’avoir lancé de très importantes attaques telles que WannaCry en 2017 et Sony Pictures en 2014.
Acte de disparition
Le nouveau cheval de Troie, dénommé OSX.AppleJeus.C par Wardle, prend le relai en restant dans la même veine, avec une variante intéressante, à savoir la soi-disant exécution, au niveau de la mémoire et sans fichier, d’une charge virale à distance.
Bien que ce malware démarre au niveau du disque sous la forme d’un programme d’installation (installer) et alors que d’autres enregistrent des fichiers sur le disque dans le cadre de leur processus d’infection, la dernière partie exécutable du malware est chargée directement en mémoire sans être préalablement enregistrée sur le disque, d’où son surnom de “fileless” (sans fichier).
À partir de ce moment-là, le malware manque de mémoire principale, appelant ainsi un serveur distant pour récupérer la charge virale que les attaquants auront envie de distribuer.
Heureusement, comme le note Wardle, pour que l’infection ait véritablement lieu, le programme d’installation vous oblige à cliquer sur deux avertissements macOS : tout d’abord une fenêtre popup vous indiquant que ce dernier n’est pas signé, et ensuite une invite pour accorder à ce programme un accès de type root.
L’objectif réel des attaquants, en utilisant cette variante, n’est pas clair, mais il s’agit très probablement de la même tentative de vol de cryptomonnaie que les campagnes macOS précédentes.
L’utilisateur Apple lambda doit-il craindre l’arrivée de malwares fileless ? La réponse est NON, à moins d’être vraiment imprudent. En effet, pour être infecté, l’utilisateur doit prendre le risque de télécharger une application non signée et de lui donner des pouvoirs d’administrateur lors de l’installation.
Quoi faire ?
Les cybercriminels ciblent clairement la cryptomonnaie de manière massive. Toute application publique utilisée pour du stockage ou du trading dans ce domaine doit être traitée avec une extrême prudence.
Si vous pensez que vous pourriez être infecté, vous pouvez rechercher ces deux fichiers comme indicateur d’une éventuelle compromission :
- Fichier de configuration :
/Library/LaunchDaemons/vip.unioncrypto.plist
- Fichier exécutable :
/Library/UnionCrypto/unioncryptoupdater
Ces fichiers sont des signes révélateurs d’infections créées par le programme d’installation du malware.
Sophos détecte le malware sous le nom : OSX/NukeSped-AB. Si vous ne l’avez pas déjà fait, téléchargez Sophos Home Gratuit, qui offre une protection gratuite contre les malwares sur les Mac.
Billet inspiré de Mac users targetted by Lazarus ‘fileless’ Trojan, sur Sophos nakedsecurity.