Les experts en sécurité ont averti que les appareils Apple sont ciblés par une nouvelle variante de logiciel malveillant se faisant passer pour un faux visualiseur de PDF macOS.
Des chercheurs en cybersécurité de Jamf Threat Labs ont publié un rapport dans lequel ils détaillent un nouveau malware Apple macOS (s’ouvre dans un nouvel onglet) souche baptisée RustBucket.
RustBucket est essentiellement un chargeur, utilisé pour fournir des logiciels malveillants de deuxième étape aux terminaux cibles. Il est distribué sous le nom de fichier « Internal PDF Viewer » et bien que les chercheurs ne discutent pas des canaux de distribution, il est prudent de supposer qu’il est envoyé via des e-mails de phishing et des sites Web malveillants.
Attaque en trois temps
La mise en garde avec RustBucket est que pour fonctionner, la victime doit annuler manuellement les protections Gatekeeper. S’ils le font, ils risquent d’obtenir une charge utile de deuxième étape, écrite en Objective-C qui, à son tour, fournit la charge utile finale – l’exécutable Mach-O écrit en Rust. Ce malware, selon les chercheurs, peut exécuter des commandes de reconnaissance du système.
« Cette technique de visualisation de PDF utilisée par l’attaquant est intelligente », ont déclaré les chercheurs. « À ce stade, pour effectuer une analyse, nous avons non seulement besoin du logiciel malveillant de deuxième étape, mais nous avons également besoin du fichier PDF correct qui fonctionne comme une clé afin d’exécuter le code malveillant dans l’application. »
L’acteur menaçant derrière cette campagne s’appelle BlueNoroff – parfois aussi appelé APT28, Nickel Gladstone, Sapphire Sleet, Stardust Chollima ou TA444.
En réalité, le groupe fait partie du groupe Lazarus, un tristement célèbre acteur de la menace parrainé par l’État de Corée du Nord. Lazarus est l’un des acteurs de la menace les plus connus au monde, responsable, entre autres, de l’attaque du pont Harmony qui s’est produite en juin 2022. Cette attaque contre la populaire entreprise de cryptographie a entraîné le vol d’environ 100 millions de dollars dans diverses crypto-monnaies.
Lazarus était également à l’origine d’une attaque contre le pont Ronin qui a eu lieu plus tôt en 2022, où le groupe a volé 625 millions de dollars dans diverses crypto-monnaies.
Via : The Hacker News (s’ouvre dans un nouvel onglet)