Les utilisateurs de Mac sont actuellement visés par une campagne malveillante sophistiquée déployant un cheval de Troie proxy à travers le téléchargement de logiciels piratés.
Développement de l’offensive
Cette offensive, mise en lumière par les experts en sécurité de Kaspersky, implique un large éventail de logiciels macOS populaires et habituellement payants, désormais disponibles gratuitement mais infectés, sur des plateformes de téléchargement illégales.
Ces applications, englobant des outils d’édition d’images, de compression et d’édition vidéo, de récupération de données, et d’analyse de réseau. They alter to incorporate a specially designed malware that transforms the infected devices into proxy nodes.
Ces nœuds servent alors à anonymiser diverses activités illégales. Telles que le hacking, le phishing, ou le commerce de produits interdits, contribuant ainsi à l’élaboration d’un réseau de bots à des fins lucratives.
Kaspersky’s discovery reveals that this campaign, which submitted its first payload samples to VirusTotal on April 28, 2023, exploits users’ tendency to search for free versions of commercial software, jeopardizing the security of their systems.
Logiciels compromis
Parmi les logiciels compromis figurent des noms bien connus tels que :
- 4K Video Downloader Pro
- Aiseesoft Mac Data Recovery
- Aiseesoft Mac Video Converter Ultimate
- AnyMP4 Android Data Recovery pour Mac,
- Downie 4
- FonePaw Data Recovery
- Sketch
- Wondershare UniConverter 13
- SQLPro Studio
- Artstudio Pro
Méthode d’infection
Significantly, unlike legitimate distributions in the form of disk images (USB key, CD, DVD…), infected versions are offered as PKG files.
Ces derniers, beaucoup plus risqués, ont la capacité d’exécuter des scripts durant l’installation, exploitant les droits d’administrateur pour initier des opérations malveillantes comme la modification de fichiers, l’exécution automatique, et l’exécution de commandes.
Le cheval de Troie, dissimulé sous l’apparence d’un processus système légitime de macOS, WindowServer, est conçu pour se fondre dans les opérations systémiques routinières et éviter ainsi la détection par l’utilisateur.
Ce malware est activé via un fichier nommé « GoogleHelperUpdater.plist ». Feignant d’être un fichier de configuration Google, ce qui renforce sa discrétion.
Infrastructure de commande et de contrôle
Une fois lancé, il se connecte à un serveur de commande et de contrôle via DNS-sur-HTTPS (DoH). Recevant des commandes pour orchestrer ses activités malicieuses. Bien que les commandes spécifiques n’aient pas été observées par Kaspersky. L’analyse indique que le malware est apte à établir des connexions TCP ou UDP, facilitant ainsi son rôle de proxy.
This command and control infrastructure is not limited to macOS. Elle héberge également des charges utiles destinées aux systèmes Android et Windows, révélant une stratégie d’attaque visant une diversité de plateformes.
Appel à la vigilance des utilisateurs
L’existence de cette campagne de malware souligne la nécessité cruciale pour les utilisateurs de rester vigilants et d’éviter les téléchargements depuis des sources non officielles. Mac users, particularly those who may be less accustomed to such threats, can face these risks.