mardi, novembre 26, 2024

Le malware Apple MacOS cible la communauté cryptographique et les ingénieurs

Un nouveau malware découvert sur macOS d’Apple – lié au groupe de piratage nord-coréen Lazarus – aurait ciblé les ingénieurs blockchain d’une plateforme d’échange de crypto-monnaie.

Le malware macOS « KandyKorn » est une porte dérobée furtive capable de récupérer des données, de répertorier des répertoires, de télécharger/télécharger des fichiers, de supprimer de manière sécurisée, de mettre fin à des processus et d’exécuter des commandes. selon à une analyse réalisée par Elastic Security Labs.

Flux d’exécution des logiciels malveillants MacOS (REF7001). Source : elastic.co

L’organigramme ci-dessus explique les étapes suivies par le logiciel malveillant pour infecter et pirater les ordinateurs des utilisateurs. Initialement, les attaquants diffusaient des modules basés sur Python via les canaux Discord en se faisant passer pour des membres de la communauté.

Les attaques d’ingénierie sociale incitent les membres de la communauté à télécharger une archive ZIP malveillante nommée « Cross-platform Bridges.zip » – imitant un robot d’arbitrage conçu pour la génération automatisée de bénéfices. Cependant, le fichier importe 13 modules malveillants qui travaillent ensemble pour voler et manipuler des informations. Le rapport disait :

« Nous avons observé l’auteur de la menace adopter une technique que nous ne l’avions jamais vue utiliser auparavant pour assurer la persistance sur macOS, connue sous le nom de détournement de flux d’exécution. »

Le secteur des crypto-monnaies reste une cible principale pour Lazarus, principalement motivé par le gain financier plutôt que par l’espionnage, leur autre principal objectif opérationnel.

L’existence de KandyKorn souligne que macOS se situe bien dans la zone de ciblage de Lazarus, démontrant la capacité remarquable du groupe de menaces à créer des logiciels malveillants sophistiqués et discrets adaptés aux ordinateurs Apple.

En rapport: L’exploiteur du protocole Onyx commence à siphonner 2,1 millions de dollars de butin sur Tornado Cash

Un exploit récent sur Unibot, un robot Telegram populaire utilisé pour sniper les transactions sur l’échange décentralisé Uniswap, a fait chuter le prix du jeton de 40 % en une heure.

La société d’analyse de blockchain Scopescan a alerté les utilisateurs d’Unibot d’un piratage en cours, qui a ensuite été confirmé par une source officielle :

« Nous avons rencontré un exploit d’approbation de jeton de la part de notre nouveau routeur et avons mis notre routeur en pause pour contenir le problème. »

Unibot s’est engagé à indemniser tous les utilisateurs ayant perdu des fonds en raison de l’exploit du contrat.

Revue: Slumdog milliardaire 2 : « Le Top 10… n’apporte aucune satisfaction », déclare Sandeep Nailwal de Polygon