Le cheval de Troie macOS se met à jour : il se propage en se faisant passer pour des applications signées, exposant les utilisateurs de crypto à des risques plus discrets

BlockBeats rapporte que le 23 décembre, le Chief Information Security Officer de SlowMist, 23pds, a partagé qu’un logiciel malveillant MacSync Stealer, actif sur la plateforme macOS, a connu une évolution significative et que des actifs d’utilisateurs ont déjà été volés. L’article relayé mentionne que la méthode d’induction à faible seuil, qui reposait auparavant sur le « glisser-déposer dans le terminal » ou « ClickFix », a été améliorée en une application Swift signée et notarized par Apple, augmentant considérablement sa furtivité.

Les chercheurs ont découvert que cet échantillon se propage sous la forme d’une image disque nommée zk-call-messenger-installer-3.9.2-lts.dmg, incitant les utilisateurs à le télécharger en se faisant passer pour une application de messagerie instantanée ou un outil. Contrairement aux versions précédentes, la nouvelle version ne nécessite aucune opération terminale de la part de l’utilisateur, mais utilise un programme auxiliaire Swift intégré pour récupérer et exécuter un script encodé depuis un serveur distant, complétant ainsi le processus de vol d’informations.

Ce programme malveillant a été signé et notarized par Apple, avec un ID d’équipe de développeurs GNJLS3UYZ4, et le hash correspondant n’avait pas encore été révoqué par Apple au moment de l’analyse. Cela signifie qu’il bénéficie d’une « crédibilité » accrue sous les mécanismes de sécurité macOS par défaut, ce qui le rend plus susceptible de contourner la vigilance des utilisateurs. Les recherches ont également révélé que cette image DMG est anormalement volumineuse et contient des fichiers leurres tels que des PDF liés à LibreOffice, afin de réduire davantage les soupçons.

Les chercheurs en sécurité soulignent que ce type de cheval de Troie voleur d’informations cible principalement les données de navigateur, les identifiants de compte et les informations de portefeuilles crypto. Avec l’utilisation systématique par les logiciels malveillants des mécanismes de signature et de notarization d’Apple, les utilisateurs de crypto-actifs sur macOS font face à un risque croissant de phishing et de fuite de clés privées.