Voleur de Miolab
Miolab, également connu sous le nom de Nova, est un voleur d'informations sophistiqué conçu spécifiquement pour cibler les utilisateurs de macOS. Distribué via des forums de hackers selon le modèle Malware-as-a-Service (MaaS), il permet aux cybercriminels d'accéder à une puissante panoplie d'outils sans nécessiter de compétences techniques approfondies. Ce logiciel malveillant est capable d'extraire des données sensibles à partir d'extensions de portefeuilles de cryptomonnaies, de navigateurs web et de diverses applications de gestion, tout en collectant des fichiers directement sur les systèmes compromis. Une suppression immédiate est cruciale dès sa détection afin de minimiser les dégâts.
Table des matières
Conçu pour l’efficacité, bâti pour l’évasion
Miolab n'est pas un simple voleur de données ; il intègre un panneau de contrôle centralisé et des outils de gestion des attaques qui augmentent considérablement son niveau de menace. Cette infrastructure permet même à des attaquants peu expérimentés de mener des campagnes complexes. Son architecture légère et optimisée facilite la propagation, garantit des performances constantes sur différents environnements macOS et contribue à contourner les mécanismes de détection traditionnels.
Commandement et contrôle : Gestion des attaques simplifiée
Le panneau de contrôle intégré offre aux attaquants une vue d'ensemble structurée des victimes compromises, incluant les données géographiques et les informations collectées. Il permet également de réutiliser les sessions d'authentification Google volées, autorisant ainsi un accès non autorisé aux comptes sans nécessiter de mot de passe ni contourner directement l'authentification à deux facteurs.
De plus, Miolab prend en charge le déploiement de pages de distribution malveillantes et les attaques de type ClickFix. Les opérateurs bénéficient de notifications en temps réel via Telegram et peuvent automatiser différentes étapes de leurs campagnes, ce qui accroît leur efficacité opérationnelle et leur capacité à atteindre leurs objectifs.
Capacités d’extraction de données de navigateur et de cryptomonnaie
Miolab cible agressivement les données stockées dans le navigateur, extrayant les identifiants et les informations de session qui peuvent être exploitées pour compromettre davantage le système. Son champ d'action s'étend aux navigateurs grand public comme aux navigateurs de niche, élargissant considérablement sa surface d'impact.
- Les données sensibles collectées par le navigateur comprennent les mots de passe enregistrés, les cookies, l'historique de navigation et les informations de remplissage automatique telles que les adresses e-mail et les adresses postales.
- Les éléments d'authentification tels que les jetons Google et les cookies Safari sont également collectés.
Les navigateurs ciblés incluent Chrome, Edge, Firefox, Arc, Brave, Librewolf, Opera, Opera GX, SeaMonkey, Tor Browser, Vivaldi, Waterfox, Yandex et Coc Coc. - Outre les navigateurs, Miolab cible principalement les cryptomonnaies en extrayant des fichiers tels que .dat, .key et .keys de plus de 200 extensions de portefeuilles. Il s'attaque également aux applications de gestion de portefeuilles matériels, permettant ainsi le vol de données de récupération essentielles.
- Les outils de cryptomonnaies ciblés incluent Atomic Wallet, Binance, Bitcoin, DashCore, Dogecoin, Electrum, Exodus, Guarda, Litecoin, Monero, Tonkeeper et Wasabi Wallet.
- Des applications telles que Ledger Live, Ledger Wallet et Trezor Suite sont spécifiquement conçues pour l'extraction de la phrase de récupération de 24 mots.
Au-delà des navigateurs : messagerie et exploitation des données locales
Le logiciel malveillant étend son emprise aux applications de communication et de productivité. Il peut détourner les sessions actives sur des plateformes telles que Telegram et Discord, permettant ainsi aux attaquants d'accéder aux comptes sans identifiants. Il inspecte également l'application Notes d'Apple, un emplacement courant où les utilisateurs peuvent stocker involontairement des informations sensibles comme des mots de passe ou des phrases de récupération de cryptomonnaie.
Une fois la collecte des données terminée, Miolab compresse les informations volées dans une archive ZIP et les exfiltre via HTTP. Pour dissimuler son activité, il affiche un message d'erreur macOS trompeur indiquant que l'application ne peut pas s'exécuter.
Impact : Le coût réel de l’infection
Une infection par Miolab peut avoir de graves conséquences. Les victimes peuvent subir des pertes financières dues au vol de cryptomonnaies, à l'accès non autorisé à leurs comptes, à l'usurpation d'identité, à une atteinte à leur réputation et au risque d'autres infections par des logiciels malveillants suite à la compromission initiale.
Chaîne d’infection : l’ingénierie sociale à son cœur
Miolab s'appuie fortement sur la tromperie pour infiltrer les systèmes. Les cybercriminels le distribuent via de fausses applications macOS, conditionnées sous forme de fichiers image disque (.DMG), soigneusement conçus pour ressembler à des logiciels légitimes. Ces installateurs présentent souvent une identité visuelle, des icônes et des interfaces utilisateur convaincantes afin de renforcer leur crédibilité.
Une fois exécuté, le logiciel malveillant lance un processus d'infection en plusieurs étapes. Il présente une fausse interface d'installation incitant les utilisateurs à ignorer les avertissements de sécurité en cliquant avec le bouton droit et en sélectionnant « Ouvrir ». Il tente ensuite de fermer l'application Terminal afin de masquer ses actions. Une fausse invite de mot de passe macOS s'affiche, trompant ainsi les utilisateurs et les incitant à saisir leurs identifiants système.
Après avoir validé le mot de passe, Miolab collecte des informations système, notamment les spécifications matérielles et la configuration logicielle. Il analyse ensuite les répertoires clés tels que le Bureau, les Documents et les Téléchargements, ciblant les fichiers comme les documents, les feuilles de calcul, les PDF et les données relatives aux mots de passe. Durant ce processus, l'utilisateur peut recevoir des demandes d'autorisation, tandis que le logiciel malveillant agrège et prépare discrètement les données collectées en vue de leur exfiltration.
