Mises à niveau du cheval de Troie MacOS : Se propageant via l'application signée, les utilisateurs de chiffrement font face à plus de risques cachés

BlockBeats News, le 23 décembre, le Chief Security Officer de SlowMist, 23pds, a partagé une publication indiquant que le logiciel malveillant MacSync Stealer actif sur la plateforme macOS a subi une évolution significative, les actifs des utilisateurs ayant déjà été volés. L'article qu'il a partagé mentionnait que, alors qu'il s'appuyait auparavant sur le « glisser-déposer vers le terminal » et le « ClickFix » et d'autres méthodes d'incitation peu contraignantes, il est passé à la signature de code et grâce aux applications Swift notariées par Apple, améliorant considérablement sa furtivité.

Les chercheurs ont découvert que cet échantillon est diffusé sous la forme d'une image disque nommée zk-call-messenger-installer-3.9.2-lts.dmg, déguisée en messagerie instantanée ou en applications utilitaires pour inciter les utilisateurs à télécharger. Contrairement à avant, la nouvelle version ne nécessite plus aucune opération de terminal de la part de l'utilisateur mais est tirée et exécutée par un assistant Swift intégré depuis un serveur distant pour effectuer le processus de vol d'informations.

Ce logiciel malveillant a été signé et notarié par Apple, l'ID de l'équipe de développement étant GNJLS3UYZ4, et le hachage associé n'a pas été révoqué par Apple lors de l'analyse. Cela signifie qu'il a un « niveau de confiance » plus élevé avec les mécanismes de sécurité par défaut de macOS, ce qui facilite le contournement de la vigilance des utilisateurs. La recherche a également révélé que le fichier DMG est inhabituellement volumineux, contenant des fichiers leurres liés aux PDF LibreOffice, entre autres, pour réduire davantage les soupçons.

Les chercheurs en sécurité ont souligné que ces chevaux de Troie qui volent des informations ciblent souvent les données des navigateurs, les identifiants de compte et les informations sur les portefeuilles de cryptomonnaies. Alors que les logiciels malveillants commencent à abuser systématiquement du mécanisme de signature et de notarisation d'Apple, les utilisateurs de cryptomonnaies dans l'environnement macOS sont confrontés à un risque croissant d'hameçonnage et de fuites de private key.

Il est fortement conseillé aux utilisateurs de s'assurer que la prévention des menaces et le contrôle avancé des menaces sont activés dans Jamf pour Mac et réglés en mode de blocage pour se défendre contre ces dernières variantes de logiciels malveillants qui volent des informations.