Home Ça parle de Cyberattaques & Technologies Les pirates nord-coréens infectent une véritable application 2FA pour compromettre les Mac

Les pirates nord-coréens infectent une véritable application 2FA pour compromettre les Mac

Ionut Ilascu
-
0

[ad_1]

Les pirates ont caché des logiciels malveillants dans une application d’authentification à deux facteurs (2FA) légitime pour macOS afin de distribuer Dacls, un cheval de Troie d’accès à distance associé au groupe nord-coréen Lazarus.

Dacls a été utilisé pour cibler les plates-formes Windows et Linux et la variante RAT récemment découverte pour macOS leur emprunte une grande partie des fonctionnalités et du code.

Définition de la persistance

L’acteur de la menace a implanté le logiciel malveillant dans l’application MinaOTP disponible gratuitement qui est répandue parmi les utilisateurs chinois. Un échantillon de sa version armée avec le nom TinkaOTP a été téléchargé de Hong Kong le mois dernier vers le service d’analyse VirusTotal.

À ce moment-là, le 8 avril, il est passé inaperçu, disent les analystes de malwares de Malwarebytes dans un rapport cette semaine. Actuellement, le fichier malveillant est repéré par 23 des 59 moteurs antivirus.

Le malware s’exécute après le redémarrage du système lorsqu’il est ajouté au fichier de liste de propriétés (plist) utilisé par LaunchDaemons et LaunchAgents pour exécuter des applications au démarrage.

«La différence entre LaunchAgents et LaunchDaemons est que LaunchAgents exécute le code au nom de l’utilisateur connecté tandis que LaunchDaemon exécute le code en tant qu’utilisateur root» – Malwarebytes

Même RAT, OS différent

Les connexions avec les Dacls pour Windows et Linux sont évidentes. Les chercheurs ont découvert dans la variante macOS que les noms du certificat et du fichier privé – «c_2910.cls» et «k_3872.Cls» – sont les mêmes sur les trois systèmes d’exploitation.

Le fichier de configuration du logiciel malveillant, qui est chiffré avec la même clé AES et le même vecteur d’initialisation que Dacls RAT pour Linux, fournit des preuves supplémentaires de la racine commune.

Pour aller plus loin, les chercheurs ont découvert que six des sept plugins de l’échantillon macOS sont également présents dans la variante Linux. La nouveauté est le module Socks qui démarre un proxy entre le malware et l’infrastructure C2.

Les chercheurs de Netlab de Qihoo 360 ont détaillé les fonctions des six plugins dans l’analyse publiée à la mi-décembre 2019. Ceux-ci sont utilisés aux fins suivantes:

  • CMD / Bash …

Voir la source de cette publication

[ad_2]

© Newspaper WordPress Theme by TagDiv