Pomme

Les acteurs nord-coréens de la menace ciblent les systèmes Apple macOS à l’aide d’applications Notepad et de jeux de déminage créés avec Flutter, qui sont signés et notariés par un identifiant de développeur Apple légitime.

Cela signifie que les applications malveillantes, même temporairement, ont réussi les contrôles de sécurité d’Apple, de sorte que les systèmes macOS les traitent comme vérifiées et leur permettent de s’exécuter sans restrictions.

Les noms des applications sont centrés sur des thèmes de crypto-monnaie, ce qui correspond aux intérêts des pirates nord-coréens en matière de vol financier.

Publicité

Selon Jamf Threat Labs, qui a découvert l’activité, la campagne ressemble plus à une expérience sur la manière de contourner la sécurité de macOS qu’à une opération à part entière et hautement ciblée.

Applications notariées se connectant aux serveurs de la RPDC

À partir de novembre 2024, Jamf a découvert plusieurs applications sur VirusTotal qui semblaient totalement inoffensives pour toutes les analyses antivirus, mais présentaient une fonctionnalité de « première étape », se connectant à des serveurs associés à des acteurs nord-coréens.

Toutes les applications ont été conçues pour macOS à l’aide du framework Flutter de Google, qui permet aux développeurs de créer des applications compilées de manière native pour différents systèmes d’exploitation à l’aide d’une seule base de code écrite dans le langage de programmation Dart.

« Il n’est pas rare que des acteurs intègrent des logiciels malveillants dans une application basée sur Flutter. Cependant, c’est la première fois que nous voyons cet attaquant l’utiliser pour s’en prendre aux appareils macOS », expliquent les chercheurs de Jamf, Ferdous Saljooki et Jaron Bradley.

Cette approche offre non seulement de la polyvalence aux auteurs de logiciels malveillants, mais rend également le code malveillant plus difficile à détecter car il est intégré dans une bibliothèque dynamique (dylib), chargée par le moteur Flutter au moment de l’exécution.

Disposition de l'application Flutter
Disposition de l’application Flutter Source : Jamf

Après une analyse plus approfondie de l’une des applications basées sur Flutter, nommée « Nouvelles mises à jour dans Crypto Exchange (2024-08-28).app », Jamf a découvert que le code obscurci dans dylib prenait en charge l’exécution d’AppleScript, lui permettant d’exécuter des scripts envoyés depuis un serveur de commande et de contrôle (C2).

L’application ouvre un jeu Démineur pour macOS, dont le code est disponible gratuitement sur GitHub.

Cinq des six applications malveillantes découvertes par Jamf étaient signées à l’aide d’un identifiant de développeur légitime et le logiciel malveillant avait été légalisé, ce qui signifie que les applications ont été analysées par les systèmes automatisés d’Apple et jugées sûres.

Jeu de démineur trojanisé signé
Jeu de démineur trojanisé signé Source : Jamf

Jamf a également découvert des variantes basées sur Golang et Python, nommées « New Era for Stablecoins and DeFi, CeFi (Protected).app » et « Runner.app », cette dernière étant présentée comme une simple application Notepad.

Tous deux ont envoyé des requêtes réseau à un domaine connu lié à la RPDC, ‘mbupdate.linkpc.[.]net’ et présentait des capacités d’exécution de scripts.

Apple a depuis révoqué les signatures des applications découvertes par Jamf, afin qu’elles ne contournent pas les défenses de Gatekeeper si elles sont chargées sur un système macOS à jour.

Cependant, il n’est pas clair si ces applications ont déjà été utilisées dans des opérations réelles ou uniquement dans le cadre de tests « dans la nature » ​​pour évaluer les techniques permettant de contourner les logiciels de sécurité.

Le fait qu’il existe plusieurs variantes des mêmes applications sous-jacentes conforte cette théorie, mais pour l’instant, les spécificités de cette opération restent inconnues.

5/5 - (265 votes)
Publicité
Article précédentConduktor cherche à empêcher les « mauvaises données » d’entrer dans les applications de l’entreprise
Article suivantLa tournée mondiale des concerts de l’Attack on Titan Orchestra commence en avril 2025
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici