Un malware nord-coréen cible spécifiquement les Mac (encore…)
Ce n’est malheureusement pas une première. Des chercheurs en sécurité ont découvert une nouvelle tentative de pirates informatiques supervisée par l’État nord-coréen visant à cibler les utilisateurs de Mac via un malware et une application de réunion « trojanisée ». Le malware, une variante retravaillée de la souche « BeaverTail », établit une connexion entre le Mac infecté et le serveur de commande et de contrôle de l’attaquant afin d’exfiltrer les données sensibles telles que les informations d’identification du trousseau iCloud. Pour ne rien arranger, le « maliciel » installe le logiciel de bureau à distance AnyDesk ainsi que des outils d’enregistrement de frappe en arrière-plan (un keylogger) pour prendre le contrôle de la machine.
Le logiciel malveillant a été distribué via une image disque intitulée « MicroTalk.dmg », que les pirates ont maquillé en plate-forme de vidéoconférence MiroTalk. Le malware a été analysé par le chercheur en sécurité Patrick Wardle, qui a noté que ce dernier était probablement propagé par des pirates se faisant passer pour des recruteurs. Bien que macOS Gatekeeper empêche l’exécution des applications non signées, les utilisateurs peuvent contourner cette protection en cliquant avec le bouton droit et en sélectionnant « Ouvrir ».
Il a été constaté enfin que le malware savait communiquer avec les serveurs pour télécharger et extraire des données, y compris les identifiants d’extension de navigateur pour les portefeuilles de crypto-monnaie les plus populaires. Malgré ses capacités de nuisance, le malware a réussi à passer la surveillance des antivirus sans être détecté, ce qui suscite évidemment de vives inquiétudes concernant l’évolution des stratégies des groupes de cybercriminels nord-coréens comme BlueNoroff.