Hack malware © Shutterstock.com
Une backdoor découverte sur les Mac Intel et Apple Silicon © Shutterstock
Les chercheurs de Bitdefender
viennent de dévoiler la présence d’une backdoor opérant sur les systèmes macOS. Baptisée RustDoor, cette porte dérobée se fait passer pour une mise à jour de Visual Studio et permet aux pirates de se connecter à distance aux Mac compromis.
Impénétrable, macOS ? Pas si sûr, comme en témoigne la découverte récente d’un malware codé en Rust, Trojan.MAC.RustDoor. Tout juste détectée par Bitdefender, la menace aurait eu le champ libre pendant trois mois, au moins. D’après l’entreprise de cybersécurité, l’analyse de RustDoor a permis de mettre en lumière de premières activités malveillantes dès novembre 2023, et de confirmer que la porte dérobée était toujours active au 2 février dernier. Si Bitdefender n’a pas encore su identifier précisément les auteurs de l’attaque, plusieurs éléments convergent vers les groupes Black Basta et ALPHV/BlackCat, acteurs réputés du ransomware.
Une backdoor discrète qui peut toucher toutes les architectures
C’est une menace longtemps passée inaperçue. Et pour cause, RustDoor a été codée en Rust, dont la syntaxe et la sémantique diffèrent d’autres langages plus répandus, à l’image de C et Python. Une caractéristique qui rend l’analyse et la détection de code malveillant compliquées, et qui explique pourquoi cette backdoor a réussi à passer sous le radar des chercheurs en cybersécurité aussi longtemps.
Autre spécificité de RustDoor : sa distribution prend la forme d’une mise à jour Visual Studio (FAT binaries), alors même que Microsoft abandonnera le développement de son éditeur de code pour Mac en août prochain. Parmi les noms de fichiers suspicieux, Bitdefender évoque zshrc2, Previewers, VisualStudioUpdater, VisualStudioUpdater_Patch, VisualStudioUpdating, visualstudioupdate et DO_NOT_RUN_ChromeUpdates. Pour bien faire les choses, les hackers ont également pris soin de développer une version Intel (x86_64) et une version Apple Sillicon (AMD) de leur malware, ce qui signifie que tous les Mac peuvent potentiellement être touchés.
Ransomware_Mac_Illus_0512
Les systèmes macOS ne sont pas épargnés © Shutterstock
Un mode opératoire et des IoC qui convoquent le spectre ALPHV/BlackCat
En retraçant l’activité de RustDoor, Bitdefender a pu identifier le déploiement de trois variants successifs de Rustdoor. La première, appelée Variant Zero, remonte au 2 novembre 2023 et semblait tester les fonctionnalités de la backdoor sans les exploiter. Trois semaines plus tard, le Variant 1 intégrait une liste de propriétés décrivant des mécanismes de persistance et des techniques d’évasion de sandbox sur macOS.
rustdoor source persistance variant 1 © bitdefender
La persistance décrite dans les fichiers sources du variant 1 de RustDoor © Bitdefender
rustdoor source persistance variant 2 © bitdefender
La persistance décrite dans les fichiers sources du variant 2 de RustDoor © Bitdefender
Il aura cependant fallu attendre le 30 novembre pour que le Variant 2 apparaisse et rende la porte dérobée totalement opérationnelle. On trouve dans cette version augmentée du malware un fichier de configuration JSON complexe autorisant la persistance, ainsi qu’un script Apple dédié à l’exfiltration de données vers des serveurs de commande et de contrôle, également appelés C&C ou C2.
En clair, entre novembre 2023 et février 2024, RustDoor a permis aux pirates de prendre le contrôle à distance des systèmes macOS compromis, de modifier les fichiers de configuration système pour se lancer automatiquement au démarrage du Mac, et d’exécuter des tâches régulières permettant de copier des fichiers de l’ordinateur infecté dans un dossier caché, de le compresser dans une archive ZIP et de le transférer vers un serveur C2, ni vu ni connu.
Si Bitdefender n’est aujourd’hui pas en mesure d’identifier les auteurs de l’attaque, l’entreprise a relevé que de nombreux éléments et indicateurs de compromission intrinsèques au malware avaient déjà été mis à contribution au cours d’attaques de ransomwares (également codés en Rust) orchestrées par les groupes Black Basta et ALPHV/BlackCat dès novembre 2021, dont trois des quatre serveurs C2 associés à RustDoor.
Bitdefender Antivirus
Voir l’offre
Bitdefender Antivirus
- Interface simple
- Impact sur les performances imperceptible
- Fonctionnalités complètes
Bitdefender Antivirus fait le choix de fonctionnalités plus minimalistes sur Mac par rapport à la version Windows. Néanmoins, il brille par son efficacité quasi irréprochable, un très faible impact sur les performances du système et une interface utilisateur qui est peut-être un peu trop « Windows » pour certains mais qui demeure simple et discrète. Que ce soit pour protéger un seul Mac ou pour s’intégrer dans une solution multi-appareils, BitDefender demeure une référence.
Bitdefender Antivirus fait le choix de fonctionnalités plus minimalistes sur Mac par rapport à la version Windows. Néanmoins, il brille par son efficacité quasi irréprochable, un très faible impact sur les performances du système et une interface utilisateur qui est peut-être un peu trop « Windows » pour certains mais qui demeure simple et discrète. Que ce soit pour protéger un seul Mac ou pour s’intégrer dans une solution multi-appareils, BitDefender demeure une référence.
Source : Bitdefender
News Related-
Alexis Saelemaekers impliqué dans un transfert important avec un ancien buteur d'Anderlecht
-
TVA, congés, chèques-repas… tout ce qui change à partir de janvier 2024
-
Gémeaux : Horoscope amour - 28 novembre
-
Les tests de Mathieu: cette serrure connectée française joue la sécurité au détriment des fonctionnalités, vaut-elle ses 379€ ?
-
La malicieux Guardiola révèle enfin son plus grand secret
-
Vous manquez de sommeil ? Voici une astuce bien-être qui pourrait révolutionner votre vie
-
La trêve Hamas-Israël prolongée, d’autres libérations attendues
-
«2030, vers la fin du CDI ?» (Tipik) : l'avenir de l'emploi en Belgique
-
Psoriasis Signaux D’alerte Éléments À Rechercher
-
Le beau geste de Cristiano Ronaldo : le Portugais fait annuler un penalty en sa faveur (vidéo)
-
Pédopornographie : 31 personnes interpellées en Europe dont 4 en Belgique
-
Anderlecht publie une surprenante vidéo après la victoire dans le derby
-
Excellente nouvelle pour le Cercle de Bruges !
-
En Chine, les restes de fondue font voler les avions