- Actualités
- >cybersécurité
Mac utilisateurs méfiez-vous : Une nouvelle menace Trojan-Proxy se propage via des logiciels piratés
- par Kenan
- , Publié le 9 décembre 2023
- , à22 h 09 min
Des sites web non autorisés distribuant des versions trojanisées de logiciels piratés infectent les utilisateurs de macOS d’Apple avec un nouveau logiciel malveillant de type Trojan-Proxy.
« Les attaquants peuvent utiliser ce type de malware pour gagner de l’argent en construisant un réseau de serveurs proxy ou pour réaliser des actes criminels au nom de la victime : lancer des attaques sur des sites web, des entreprises et des individus, acheter des armes, de la drogue et d’autres biens illicites », a déclaré Sergey Puzan, chercheur en sécurité chez Kaspersky.
La société russe de cybersécurité a déclaré avoir trouvé des preuves indiquant que le logiciel malveillant est une menace multiplateforme, en raison des artefacts découverts pour Windows et Android qui s’appuient sur des outils piratés.
Les variantes de macOS se propagent sous l’apparence d’outils légitimes de multimédia, d’édition d’images, de récupération de données et de productivité. Cela suggère que les utilisateurs qui recherchent des logiciels piratés sont les cibles de la campagne.
Contrairement à leurs équivalents authentiques et non modifiés, qui sont proposés sous forme de fichiers image disque (.DMG), les versions malveillantes sont livrées sous la forme d’installateurs .PKG, qui sont équipés d’un script de post-installation qui active le comportement malveillant après l’installation.
« Comme un programme d’installation demande souvent des autorisations d’administrateur pour fonctionner, le script exécuté par le processus d’installation hérite de ces autorisations », note M. Puzan.
L’objectif final de la campagne est de lancer le Trojan-Proxy, qui se fait passer pour le processus WindowServer sur macOS afin d’échapper à la détection. WindowServer est un processus central du système responsable de la gestion des fenêtres et du rendu de l’interface utilisateur graphique (GUI) des applications. Au démarrage, il tente d’obtenir l’adresse IP du serveur de commande et de contrôle (C2) auquel se connecter via DNS-over-HTTPS (DoH) en chiffrant les requêtes et les réponses DNS à l’aide du protocole HTTPS. Le Trojan-Proxy établit ensuite le contact avec le serveur C2 et attend d’autres instructions, notamment le traitement des messages entrants, l’analyse de l’adresse IP, la connexion, l’utilisation du protocole, l’envoi de messages, la capacité de signalisation, le rôle de proxy via TCP ou UDP, la redirection du trafic via l’hôte infecté. Kaspersky a déclaré avoir trouvé des échantillons de logiciels malveillants téléchargés sur le moteur d’analyse VirusTotal dès le 28 avril 2023. Pour atténuer ces menaces, il est recommandé aux utilisateurs d’éviter de télécharger des logiciels à partir de sources non fiables.