Des pirates informatiques nord-coréens ont été détectés en train de propager un nouveau malware macOS

Des pirates informatiques nord-coréens ont été détectés en train de propager un nouveau malware macOS

Des pirates informatiques nord-coréens déploient un logiciel malveillant innovant ciblant macOS

Les experts en cybersécurité ont régulièrement pointé du doigt les pirates informatiques nord-coréens pour leurs intrusions informatiques éhontées, principalement destinées à voler des fonds pour soutenir des initiatives étatiques et échapper aux sanctions internationales. Des recherches récentes menées par Jamf ont dévoilé une souche sophistiquée de malware liée à ces acteurs malveillants. Ce malware particulier a été découvert sur VirusTotal, un service populaire utilisé pour analyser les fichiers à la recherche de contenu malveillant. Curieusement, le malware a été initialement classé comme « propre ». Le logiciel malveillant existe en trois versions différentes : une développée en Go, une autre en Python et une troisième utilisant Flutter.

Flutter : une arme à double tranchant pour les développeurs et les cybercriminels

Flutter, un framework open source créé par Google, permet aux développeurs de créer des applications pour plusieurs plates-formes, telles que iOS et Android, à partir d’une seule base de code Dart. Cet utilitaire multiplateforme fait de Flutter un atout précieux pour les développeurs légitimes, mais il constitue également une option attrayante pour les cybercriminels. La structure de code intrinsèquement complexe de Flutter peut masquer les logiciels malveillants, ce qui complique la tâche des systèmes de sécurité pour détecter les menaces potentielles.

La menace déguisée : un jeu cloné

Le malware opérait sous le couvert d’un banal jeu Démineur, cloné à partir de GitHub. Son intention malveillante était dissimulée dans un fichier Dynamic Library (dylib), qui visait à établir une connexion avec un serveur de commande et de contrôle (C2) situé à l’adresse mbupdate.linkpc.net. Ce domaine a déjà été associé à des malwares nord-coréens. Heureusement, lorsque l’équipe Jamf a enquêté, elle a découvert que le serveur était inactif, ne renvoyant qu’une erreur « 404 Not Found », empêchant ainsi l’attaque de se concrétiser.

Une capture d'écran du jeu Minesweeper, apparemment innocent

Exécution trompeuse et dangers potentiels

L’un des aspects particulièrement astucieux de ce malware est sa capacité à exécuter des commandes AppleScript envoyées par le serveur C2, en utilisant une technique unique qui consiste à les exécuter à l’envers pour échapper à la détection. Les expérimentations de Jamf ont confirmé la capacité du malware à exécuter à distance n’importe quelle commande AppleScript, y compris celles qui pourraient donner aux pirates un contrôle étendu sur les systèmes infectés si l’exécution de l’attaque avait eu lieu.

Conclusions et recommandations

Cet incident semble être un test préliminaire des pirates informatiques, ce qui indique qu’ils perfectionnent leurs techniques pour contourner les mesures de sécurité d’Apple. Bien que Flutter en soi ne soit pas malveillant, sa conception contribue intrinsèquement à masquer le code nuisible, mettant en évidence une tendance inquiétante selon laquelle des outils de développement légitimes sont réutilisés à des fins malveillantes. À mesure que les menaces de cybersécurité évoluent, il reste impératif pour les utilisateurs, en particulier ceux qui travaillent dans des environnements d’entreprise, de rester vigilants et d’adopter les meilleures pratiques en matière de sécurité.

Source et images

Articles connexes:

Les autorités européennes ordonnent à Apple de cesser ses pratiques de blocage géographique
La technologie d'intelligence artificielle de Microsoft crée la toute première réplique 3D de la basilique Saint-Pierre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *