LaoShu

Description de LaoShu

La menace LaoShu est un logiciel malveillant conçu pour cibler exclusivement les systèmes Mac. L'objectif derrière le LaoShu est de collecter des données sensibles auprès des hôtes compromis. Le cheval de Troie LaoShu se propage via des e-mails qui contiennent généralement un fichier PDF infecté. Dans le cadre de la dernière campagne impliquant le cheval de Troie LaoShu, les attaquants semblent avoir choisi de masquer les faux e-mails comme des messages légitimes envoyés par des sociétés de distribution bien connues. Les e-mails indiqueraient que l'utilisateur a un package qu'il n'a pas récupéré et que le fichier PDF joint contient plus d'informations sur le problème. Dans certains cas, au lieu d'un fichier PDF, l'e-mail contiendrait une pièce jointe ZIP, qui contient un fichier PDF. Certains utilisateurs signalent que l'e-mail frauduleux les a redirigés vers un site Web qui semblait être la page officielle de la société de messagerie en question. Cependant, après y avoir examiné, les analystes de la cybersécurité ont constaté qu'il s'agissait d'un faux site Web hébergé par les attaquants, conçu pour ressembler à la page Web d'origine de la société de livraison.

Les créateurs du cheval de Troie LaoShu s'appuient sur la disposition de l'OSX. Une fois qu'un utilisateur a téléchargé le fichier PDF supposé, il pourra le voir dans les téléchargements récents. Cependant, le fichier malveillant ne semble être un fichier PDF que lorsqu'il s'agit en fait d'un programme d'application. Cela signifie que l'ouverture du fichier malveillant permettra au cheval de Troie LaoShu de pénétrer dans votre système. Lors du lancement du fichier, l'utilisateur sera averti par les mesures de sécurité d'OSX que le fichier peut être dangereux. Les utilisateurs qui ignorent l'avertissement et poursuivent seront redirigés vers le navigateur Safari, au lieu de voir un fichier PDF comme ils s'y attendaient. Il s'agit d'une astuce astucieuse conçue pour induire les utilisateurs en erreur en leur faisant croire que quelque chose s'était mal passé lors de l'ouverture du fichier. Si les utilisateurs ne l'examinent pas plus avant, ils peuvent même ne jamais se rendre compte que leur système a été infecté parce que le cheval de Troie LaoShu fonctionne silencieusement.

Lorsque le cheval de Troie LaoShu est installé avec succès sur l'hôte cible, il recherche dans le système la présence de fichiers PPT, PPTX, DOC, DOCX, XLS et XLSX. Si de tels fichiers sont détectés, la menace LaoShu veillera à les collecter dans une archive ZIP, qui sera ensuite transférée au serveur C&C (Command & Control) des opérateurs du cheval de Troie. Le malware LaoShu peut également télécharger des fichiers depuis le serveur C&C des attaquants et même exécuter des commandes shell. Ces capacités supplémentaires permettraient au cheval de Troie LaoShu de modifier les paramètres du système ou d'injecter des menaces supplémentaires sur l'hôte infecté. Selon certains rapports, le cheval de Troie LaoShu est connu pour planter un module capable de prendre des captures d'écran du bureau de l'utilisateur et des fenêtres actives.

Le cheval de Troie LaoShu n'est pas une menace à sous-estimer. Il s'agit d'un outil complexe et puissant qui devrait continuer de harceler les utilisateurs d'Apple dans le monde entier. Assurez-vous que votre Mac est protégé par une application anti-malware légitime.