Les chercheurs de Bitdefender et Elastic Security Labs ont découvert une intrusion qui a ciblé un échange de cryptomonnaies au Japon. L’intrusion impliquait des portes dérobées personnalisées et des outils macOS open source. Les acteurs malveillants ont utilisé ces portes pour déployer des logiciels espions sur les systèmes des victimes, d’abord à des fins de reconnaissance, puis pour réaliser des opérations de commande et contrôle.
Menace : JokerSpy
Effets :
selon les chercheurs d’Elastic Security Labs, les pirates ont contourné les autorisations TCC (transparence, consentement et contrôle) de macOS en créant leur propre base de données TCC, qui a pris la place de la base légitime. Ils ont également mis en place une porte dérobée en Python appelée sh.py, qui chargeait sa configuration à partir d’un fichier spécifique et leur permettait d’exécuter diverses commandes et actions sur le système infecté. Au cours de leur enquête, les chercheurs d’Elastic Security Labs ont constaté qu’une fois l’accès au système obtenu grâce à la porte dérobée JokerSpy, les pirates ont exécuté une instance de SwiftBelt. Cet arsenal d’outils open source est bien connu : il permet aux équipes de sécurité de type « red team » d’effectuer des opérations de reconnaissance post-exploitation sur macOS.
L’équipe de Jamf Threat Labs bloque efficacement le logiciel malveillant JokerSpy depuis sa première divulgation publique, témoignant une fois de plus de l’attention constante que nous portons aux plateformes Apple. C’est également le cas pour l’utilisation malveillante de SwiftBelt : Jamf s’est une fois de plus illustré en analysant rapidement les nouveaux outils et en créant des règles de blocage personnalisées, pour tenir le rythme de l’évolution des menaces. Depuis plus de deux ans, Jamf Protect dispose en effet de règles personnalisées pour bloquer SwiftBelt. Cette approche proactive nous distingue des fournisseurs multiplateformes, qui tardent généralement à s’intéresser aux nouveaux outils d’exploitation visantApple tant qu’ils n’ont pas été observés dans des campagnes malveillantes actives. C’est un témoignage de plus de notre détermination à fournir la sécurité macOS la plus complète et la plus à jour.
Pour s’en prémunir :
Jamf Protect suit de près cette campagne malveillante, et au 19 juin 2023 des règles de prévention personnalisées bloquent son exécution.
En outre, Jamf Protect détecte et signale la contrefaçon de bases de données TCC (utilisée dans cette attaque) via l’analyse comportementale « TCC Database File Manually Created ». La base de données TCC consigne les applications auxquelles un utilisateur a accordé des autorisations spéciales – l’accès intégral au disque ou à ses contacts, par exemple. Pour exploiter cette fonctionnalité de sécurité, les pirates devaient généralement créer leur propre fichier TCC.db modifié sur le disque, puis convaincre le système d’exploitation d’utiliser ce fichier TCC.db au lieu de la base de données créée par macOS.
IOC (publiés par Bitdefender et Elastic) :
URL malveillantes (publiées par Bitdefender et Elastic) :
Les logiciels malveillants représentent une menace bien réelle. Protégez-vous avec Jamf.
S’abonner au blog de Jamf
Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.
Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.