AppleJeus
Les cybercriminels s'intéressent de plus en plus à la création de menaces ciblant les appareils exécutant OSX. L'une des menaces les plus récentes de ce type que les experts en cybersécurité ont repérées s'appelle AppleJeus. La menace AppleJeus est une porte dérobée de cheval de Troie avec plusieurs fonctionnalités intrigantes. Les auteurs du cheval de Troie AppleJeus le propagent à l'aide d'un faux échange de devises d'actifs numériques. Tout utilisateur qui souhaite utiliser le service est invité à télécharger une plate-forme de négociation d'actifs numériques. Cependant, dès que les utilisateurs téléchargent et installent le fichier, la porte dérobée du cheval de Troie AppleJeus sera implantée en silence sur leurs systèmes. Outre la variante de cette menace qui cible les ordinateurs Mac, les auteurs ont également développé une copie qui va également après les systèmes Win-dows. La variante Windows de cette menace ne possède pas de qualités trop impressionnantes, mais la copie OSX présente des aspects curieux qui méritent d'être explorés.
Un fichier corrompu est hébergé sur GitHub
Pour tromper les utilisateurs et compromettre leurs systèmes, la porte dérobée du cheval de Troie Ap-pleJeus est masquée comme un faux échange nommé «Celas» ou «JMT Trading». Ces deux services sont constitués et ne sont liés à aucune société ou entreprise authentique. Les créateurs de la porte dérobée AppleJeus ont choisi d'héberger le fichier corrompu de la menace sur la plateforme légitime GitHub. Le nom du fichier est «JMT-Trader.pkg». Le fait que les auteurs de cette menace hébergent ce fichier sur une plate-forme réputée comme GitHub peut inciter certains utilisateurs à penser qu'il n'y a rien de louche et que le service est authentique.
Gagne en persistance
Pour gagner en persistance sur l'hôte foiré, la porte dérobée Ap-pleJeus déploiera une collection de fichiers à l'aide d'un script d'installation, puis générera un nouveau démon de lancement qui s'assurera que la menace s'exécute à chaque redémarrage de l'ordinateur. Des privilèges d'administrateur sont requis pour la réalisation de cette étape de l'attaque, mais cela ne pose aucun problème aux auteurs de la menace. La porte dérobée AppleJeus Tro-jan présentera aux utilisateurs une invite qui les exhortera à remplir leurs informations d'identification d'administrateur et à donner le feu vert à l'installation.
Malgré la courte liste de commandes que la menace peut exécuter, elles sont plus que suffisantes pour que les attaquants obtiennent un contrôle presque complet sur la machine compromise. La porte dérobée AppleJeus peut:
- Téléchargez des fichiers sur l'hôte infecté.
- Exécutez les fichiers sur l'hôte infecté.
- Exécutez des commandes à distance sur l'hôte infecté.
- Auto-terminaison.
Juste basé sur la méthode de propagation complexe employée par les attaquants, il est sûr de supposer qu'ils sont très expérimentés dans le domaine de la cybercriminalité. Cela a conduit les chercheurs en cybersécurité à croire qu'il pourrait y avoir une APT (Advanced Persistent Threat) derrière cette attaque. Après avoir étudié le cheval de Troie de porte dérobée AppleJeus, les experts ont trouvé des parallèles étroits entre cette menace et d'autres souches de logiciels malveillants qui ont été associées au célèbre ATP nord-coréen appelé Lazarus. Les menaces republiées par le Lazarus APT sont très puissantes et menaçantes. C'est pourquoi vous devriez certainement envisager d'investir dans une application anti-malware réputée qui protégera votre système.