L’art du cryptojacking

L’équipe de Jamf Threat Labs a récemment attiré l’attention des médias techniques en révélant l’existence d’un logiciel malveillant particulièrement sournois qui proliférait dans la nature à l’insu de tous. En suivant sa piste, les membres de Jamf Threat Labs ont découvert des informations intéressantes et se sont engagés dans des voies fascinantes. Au cours de cette présentation passionnante de la conférence JNUC 2023, les participants ont pu suivre l’équipe dans toutes les étapes de son enquête sur une récente attaque de logiciels malveillants sur Mac.

Septembre 21 2023 Par

The Art of Cryptojacking

Matt Benyo, de Jamf Threat Labs, a commencé par présenter toute l’équipe chargée de la recherche et de la protection contre les logiciels malveillants pour macOS. Il souhaitait donner un aperçu du fonctionnement des logiciels malveillants.

« En raison du marketing qui entoure les produits de sécurité, on voit souvent la recherche sur les menaces comme une affaire d’espionnage, de pirates en capuche, de superpuissance aux prises avec des États voyous, et ce n’est pas entièrement faux... Mais ce n’est pas le cas ici. La méthode, cette fois, consistait plutôt à fouiller dans les poubelles – pour y trouver des choses très sales, d’ailleurs. »

Comme le botnet de cryptojacking découvert par l’équipe Jamf Threat Labs.

Quelques points à savoir en préambule

Comment fonctionne Jamf Protect, notre solution de protection contre les menaces

Pour comprendre cette histoire, vous devez connaître les bases du fonctionnement de Jamf Protect, notre solution de protection contre les menaces.

Jamf Protect fonctionne comme une extension du système : le logiciel peut utiliser l’API de sécurité des terminaux d’Apple pour obtenir une visibilité sur l’activité sur le système, à l’échelle du noyau. « Cette API nous confère une certaine autorité pour intervenir lorsqu’un processus cherche à s’exécuter, » explique M. Benyo.

Par exemple, lorsqu’un logiciel tente de lancer un processus, le noyau envoie un message à l’extension de sécurité souscrite, et c’est cette dernière qui décide si l’application doit être autorisée à s’ouvrir.

C’est de cette façon que Jamf Protect empêche des actions de se dérouler. Mais « Jamf Protect, précise M. Benyo, dispose d’un délai très court pour prendre cette décision. »

Sources utilisées par Jamf Protect

  • Hachages de fichiers : l’empreinte numérique d’un fichier peut permettre à Jamf Protect de reconnaître et bloquer des fichiers contenant du code malveillant.
  • Team ID : les ID des développeurs qui ont signé du code ; Jamf Protect bloque ceux qui ont produit du code malveillant dans le passé.
  • Règles YARA : un moteur de règles antivirus open source qui aide Jamf Protect à rechercher des chaînes de caractères suspectes.

Comment fonctionne le minage de cryptomonnaies

Pour comprendre le comportement du bot découvert par Jamf Threat Labs, revenons rapidement sur le fonctionnement du minage de cryptomonnaies. « Il s’agit tout simplement de mettre à disposition des ressources informatiques pour résoudre un problème mathématique complexe, » a expliqué M. Benyo. Quand un ordinateur le résout, un bloc est ajouté à la blockchain. Pour chaque bloc que votre ordinateur résout en premier, vous êtes récompensé dans la devise que vous exploitez.

Le coût de l’opération peut être élevé : il faut un matériel spécifique et une grande quantité d’électricité. C’est pourquoi certains acteurs malveillants tentent d’utiliser les ressources informatiques de tiers à leur insu.

Comment cette aventure a commencé

« Tout a commencé, a déclaré M. Benyo, par une alerte que nous avons reçue dans le cadre de la fonctionnalité de protection contre les menaces de Jamf Protect. »

Le modèle de chasse aux menaces de Jamf Threat Labs consiste en partie à surveiller les résultats des détections de Jamf Protect dans le monde réel afin d’identifier les logiciels malveillants qui sont réutilisés ou modifiés.

Une pêche miraculeuse

« Un jour, en examinant ces détections, une alerte de prévention des menaces a attiré notre attention, » explique M. Benyo. « Cette détection reposait sur une règle de YARA, qui avait reconnu des chaînes contenues dans le fichier. »

Il s’agissait d’un programme bénin de minage open source appelé XMRig. Rien de suspect là-dedans. Mais alors, qu’est-ce qui les a alertés ? Le chemin était un paquet Final Cut Pro. Pourquoi est-ce qu’Apple utiliserait son logiciel pour miner clandestinement des cryptomonnaies sur le Mac d’un utilisateur ?

En effet, ce n’est pas le genre d’Apple.

« Nous savions qu’il ne pouvait pas s’agir du véritable Final Cut Pro, » a déclaré M. Benyo. L’équipe a comparé le Team ID du paquet à celui de la version réelle de Final Cut Pro. Sans surprise, le paquet n’était pas authentique.

Personne d’autre n’était au courant de ce logiciel malveillant !

L’équipe a vérifié le hachage sur VirusTotal, un service très répandu qui analyse les fichiers et les URL à la recherche de virus, de vers, de chevaux de Troie et autres contenus malveillants.

« Mais nous avons découvert que cet échantillon ne semblait pas exister dans VirusTotal, » explique M. Benyo. « Il était inconnu au bataillon. »

La chasse était ouverte !

L’équipe a lancé l’enquête.

« Si je devais me procurer une version illégale d’un logiciel, a affirmé M. Benyo, j’irais sur The Pirate Bay. »

Et c’est précisément là que l’équipe a trouvé le paquet et l’a téléchargé. Puis elle l’a installé.

Pour voir ce qui allait se passer.

Au lancement, le logiciel semblait fonctionner exactement comme une version normale de Final Cut Pro.

L’équipe a poursuivi son exploration et s’est intéressée au paquet lui-même. À l’exception de la signature, tout semblait normal, la structure semblait correcte. L’équipe a alors remarqué que l’exécutable faisait 11,9 Go alors que la version officielle de Final Cut Pro n’en faisait que 3,9. « Nous avons finalement examiné le hachage : c’était le même, » conclut M. Benyo.

Bingo.

Trahi par un morceau de code

En explorant l’exécutable à l’aide de l’utilitaire strings, l’équipe a découvert un grand mur de texte.

Tout d’abord, elle a identifié un script bash très complexe. Puis un morceau de code Base64.

Les pirates utilisent souvent les données Base64 pour intégrer du contenu dans d’autres contenus. Le Base64 leur permet d’encoder et décoder facilement les données : c’est donc un moyen très simple d’encoder les octets d’un exécutable au sein d’un autre pour le dissimuler.

« Beaucoup de logiciels malveillants médiocres utilisent le Base64 pour éviter que leurs chaînes ne soient reconnues. C’est un peu comme le verlan. Vos enfants ne comprendront pas ce que vous dites, mais n’importe qui peut le décoder à l’aide d’un mécanisme simple. »

Ce que l’équipe a découvert

Matt Benyo nous explique le fonctionnement du logiciel malveillant : quand l’utilisateur lance Final Cut Pro, « le script explore son mur de texte et en extrait deux morceaux ».

  • Le premier morceau correspond à Final Cut Pro. Du côté de l’utilisateur, tout se passe bien.
  • Le deuxième morceau, une fois décodé, installe I2P, ou Invisible Internet Protocol – un démon qui fait de votre ordinateur un nœud du dark web. Ce processus se charge d’anonymiser le trafic.

L’ordinateur envoie ensuite le message intégré au serveur du pirate, qui commence à lui envoyer des défis de calcul de bloc. Lorsqu’il les résout et crée un bloc, l’attaquant le récupère et envoie un autre défi. Encore et encore.

C’est comme cela que les pirates utilisent des ordinateurs tiers pour miner de la cryptomonnaie à leur profit. Ils s’épargnent ainsi tous les frais associés. Plus besoin d’appareils puissants ou de consommation intensive d’électricité. Les ordinateurs infectés font tout le travail et le pirate perçoit les paiements en tout anonymat.

L’intrigue s’épaissit

Mais en douceur. L’équipe a découvert que ces logiciels malveillants échappaient à la détection depuis très longtemps.

La personne qui a diffusé ce logiciel malveillant est connue sous le nom d’utilisateur « wtfisthat » suivi d’un nombre très long. Sur Pirate Bay, tout utilisateur peut sélectionner le nom d’un contributeur pour voir ce qu’il a diffusé. Les membres de Jamf Threat Labs ont ainsi pu retracer l’historique de ce logiciel malveillant.

C’est en examinant ces données que l’équipe a compris comment le rechercher : en ciblant les ordinateurs sur lesquels XMRig ou I2P est installé.

« Aujourd’hui encore, dit M. Benyo, si une mise à jour de LogicPro ou de FinalCut sort, il ne faut qu’un jour ou deux à ce pirate pour livrer une nouvelle édition de sa version. »

L’équipe en a fait part à Apple, qui a rapidement publié une mise à jour pour corriger le problème.

Voici quelques extraits des échanges qui ont suivi la présentation.

Q : C’est plutôt brillant ! Les victimes qui veulent installer Final Cut sont susceptibles d’avoir des systèmes robustes et de ne pas remarquer que leurs ressources sont exploitées.

R : C’est vrai, j’ai oublié de préciser qu’il s’agissait toujours de programmes très gourmands en CPU : Photoshop, Final Cut Pro, Logic... personne ne s’étonne d’entendre son ventilateur tourner avec ce type d’applications.

Q : Existe-t-il une exemption au DMCA pour les chercheurs en sécurité qui téléchargent des logiciels piratés ? Est-ce que la police de l’Internet peut intervenir ?

R : Je ne sais pas, mais il me semble que je devrais être au courant. J’y ai pensé au tout début, mais nous avons une relation étroite avec Apple et je savais que nous allions forcément leur présenter nos travaux, donc il me semblait que nous étions couverts.

Q : Comment ont-ils contourné les sécurités macOS par défaut le contrôle de la signature de l’application ? Est-ce que l’application devait être ouverte avec le clic droit ? Était-elle signée ?

R : Dans une certaine mesure, oui. Je vais préciser une chose : il est quasiment impossible de faire fonctionner cette application pirate sur les versions actuelles de macOS. Dès qu’Apple est passé à Monterey, ces logiciels malveillants sont devenus difficiles à exécuter. Cette application était accompagnée d’instructions telles que « cliquer avec le bouton droit de la souris pour ouvrir » ou « désactivez ceci ». Beaucoup de ces logiciels diffusés par torrent ont un bouton « lancer sans gatekeeper » qui supprime toute possibilité de mise en quarantaine. Si vous avez Jamf Protect, vous seriez surpris de voir la quantité d’instructions de ce type que nous arrêtons. Beaucoup d’utilisateurs téléchargent en torrent sur leur ordinateur professionnel.

Q : Est-ce que cette approche permettrait au logiciel malveillant de se diffuser via la MDM ?

R : Chez Jamf, l’une de nos grandes sources d’inquiétude est que si vous parvenez à introduire une compromission au niveau de la MDM, votre terrain de jeu n’a plus de limites. Nous y réfléchissons beaucoup. Nous avons des détections de sabotage qui s’appliquent directement à Jamf Protect.

Q : Comment se protéger contre les logiciels malveillants inconnus ?

R : Quand nous avons créé Jamf Protect, son gros point fort était justement le concept de détection comportementale. Des opérations comme l’ouverture des moniteurs d’activité peuvent être exploitées dans le cadre de la détection comportementale. Si un agent quelconque inspecte le moniteur et met fin à un processus, nous le saurons et nous le bloquerons. Quelles sont les tactiques utilisées par ce logiciel malveillant ? Ce sont des tactiques anciennes, utilisées par de nombreux virus et même dans des logiciels malveillants plus sophistiqués.

Q : Si un client découvre un nouveau virus inédit et qu’il est le seul client à l’avoir rencontré, comment est-il intégré dans le produit afin que tout le monde soit protégé ?

R : C’est précisément tout le travail de Threat Labs ! Nous posons des pièges et nous intégrons notre butin dans de nouvelles détections, comportementales ou autres.

Q : Du point de vue du contournement des défenses, existe-t-il de meilleurs moyens de dissimuler un virus ?

R : Certainement. Cette attaque n’était pas la plus sophistiquée. Une chose est claire : ils ont fait beaucoup d’efforts pour dissimuler leur code et le rendre indétectable. Il existe d’autres méthodes moins évidentes, mais de leur point de vue, si une technique fonctionne, il faut l’utiliser ! Le fait qu’ils continuent à le faire quatre ans après, alors que plusieurs fournisseurs le détectent et le bloquent, me laisse penser qu’ils ont encore beaucoup de succès. Nous n’avons aucun moyen de quantifier le nombre de terminaux sur lesquels il est installé ou le montant que cela représente, mais ils doivent penser que le jeu en vaut la chandelle. C’est leur MVP !

Regardez la vidéo de cette session pour découvrir tous les détails de cette aventure fascinante et en savoir plus sur l’évolution de ces logiciels malveillants !

Inscrivez-vous à la JNUC pour accéder à cette session et bien d’autres.

S’abonner au blog de Jamf

Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.