Les chercheurs en sécurité ont levé le voile sur ce qui semble être une variante du tristement célèbre malware RustBucket qui cible les systèmes macOS. Ce qui a été détecté pour la première fois plus tôt en avril, un nouveau rapport du Laboratoires de menaces Jamf souligne comment cette attaque continue d’évoluer et quelles peuvent être ses cibles potentielles.
Seau de rouille est une forme relativement nouvelle de malware qui cible spécifiquement les utilisateurs de Mac. Il s’agit du travail d’un groupe de menace persistante avancée (APT) basé en Corée du Nord, appelé BlueNoroff, un sous-groupe de la célèbre entreprise de cybercriminalité de l’État-nation, Lazarus Group.
Mardi, les experts en sécurité Apple de Jamf Threat Labs a révélé des détails sur ce qu’il pense être une nouvelle variante de malware macOS de BlueNoroff qui s’aligne étroitement sur RustBucket. Le stade ultérieur fait référence à l’infection initiale et implique souvent l’exfiltration de données, l’établissement de la persistance ou un mouvement latéral au sein d’un réseau.
Selon Jamf, BlueNoroff contacte souvent des victimes potentielles sous le couvert d’un investisseur ou d’un chasseur de têtes d’entreprise. Il n’est pas rare non plus que les acteurs malveillants créent des domaines qui semblent appartenir à une société de cryptographie légitime pour se fondre dans l’activité du réseau.
La découverte de la nouvelle variante de type RustBucket a été faite après que les chercheurs de Jamf ont trouvé un binaire universel macOS communiquant avec un domaine précédemment classé comme malveillant.
« Cet exécutable n’était pas détecté sur VirusTotal au moment de notre analyse, ce qui a éveillé notre intérêt », a déclaré Jamf.
RustBucket compromet ses cibles en utilisant diverses techniques, telles que les e-mails de phishing, les sites Web malveillants et les téléchargements en voiture. Une fois infecté, le logiciel malveillant communique avec les serveurs de commande et de contrôle (C2) pour télécharger et exécuter diverses charges utiles. Ce qui est le plus insaisissable, cependant, est sa capacité à passer à travers les scanners antivirus, comme VirusTotal, sans être détecté.
Et c’est ce qu’a fait cette nouvelle variante.
Pour tenter de communiquer avec le serveur C2 de la nouvelle variante, les chercheurs de Jamf ont effectué un pivot DNS à partir du domaine malveillant initial et ont trouvé plusieurs autres URL utilisées pour la communication. Finalement, ils n’ont pas réussi et le serveur C2 s’est immédiatement mis hors ligne peu de temps après.
« Au cours des derniers mois, Jamf Threat Labs a découvert diverses campagnes de logiciels malveillants orchestrées par cet insaisissable acteur de la menace persistante avancée dans le but de voler les actifs numériques des victimes », a déclaré Jaron Bradley, directeur de Jamf Threat Labs. 9à5Mac.
« Nos dernières recherches mettent en lumière un logiciel malveillant non signalé utilisé par BlueNoroff pour établir des canaux de communication secrets sur des systèmes compromis. Ce programme furtif permet aux attaquants d’envoyer et de recevoir des données pendant que la victime continue d’utiliser son ordinateur, échappant ainsi à toute détection.
RustBucket et ses variantes similaires peuvent poser de sérieux problèmes aux utilisateurs de Mac. Il existe cependant plusieurs moyens de se protéger.
- Plus important encore : soyez prudent lorsque vous ouvrez des pièces jointes à un e-mail, surtout si l’expéditeur est inconnu. Les logiciels malveillants peuvent être transmis via des pièces jointes infectées.
- Assurez-vous que vous utilisez la dernière version de macOS avec tous les correctifs de sécurité qui l’accompagnent. Cela permet de remédier aux vulnérabilités connues que les logiciels malveillants peuvent exploiter.
- Installez sur votre Mac un logiciel antivirus et anti-malware réputé qui peut également détecter et bloquer les sites Web malveillants. Bien que RustBucket puisse effectivement passer inaperçu sans être détecté, il est toujours bon de disposer d’une couche de défense supplémentaire sur Mac.
Vous pouvez trouver le rapport complet de Jamf sur la nouvelle variante du malware et consulter les indicateurs de compromission. ici.
FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.
