Les acteurs de la menace à l’origine de l’opération de rançongiciel LockBit ont développé de nouveaux artefacts capables de chiffrer des fichiers sur des appareils exécutant le système d’exploitation macOS d’Apple.
Le développement, qui a été signalé par MalwareHunterTeam au cours du week-end, semble être la première fois qu’une équipe de rançongiciels de gros gibier crée une charge utile basée sur macOS.
Échantillons supplémentaires identifiés par vx-underground montrent que la variante macOS est disponible depuis le 11 novembre 2022 et a réussi à échapper à la détection par les moteurs anti-malware jusqu’à présent.
LockBit est une équipe prolifique de cybercriminalité liée à la Russie qui est active depuis fin 2019, les acteurs de la menace ayant publié deux mises à jour majeures du casier en 2021 et 2022.
Selon les statistiques publié par Malwarebytes la semaine dernière, LockBit est devenu le deuxième rançongiciel le plus utilisé en mars 2023 après Cl0p, avec 93 attaques réussies.
Une analyse de la nouvelle version de macOS (« locker_Apple_M1_64″_ révèle qu’il s’agit toujours d’un travail en cours, s’appuyant sur une signature invalide pour signer l’exécutable. Cela signifie également que les protections Gatekeeper d’Apple empêcheront son exécution même s’il est téléchargé et lancé sur un appareil.
La charge utile, selon le chercheur en sécurité Patrick Wardle, est contenue dans des fichiers tels que autorun.inf et ntuser.dat.log, ce qui suggère que l’échantillon de rançongiciel a été initialement conçu pour cibler Windows.
« Bien qu’il puisse effectivement fonctionner sur Apple Silicon, c’est essentiellement l’étendue de son impact », Wardle a dit. « Ainsi, les utilisateurs de macOS n’ont rien à craindre… pour l’instant ! »
Maîtrisez l’art de la collecte de renseignements sur le dark web
Apprenez l’art d’extraire des informations sur les menaces du dark web – Rejoignez ce webinaire dirigé par des experts !
Wardle a également souligné les garanties supplémentaires mises en œuvre par Apple, telles que la protection de l’intégrité du système (siroter) et Transparence, consentement et contrôle (TCC) qui empêchent l’exécution de code non autorisé et besoin d’applications demander aux utilisateurs l’autorisation d’accéder aux fichiers et données protégés.
« Cela signifie que sans un exploit ou une approbation explicite de l’utilisateur, les fichiers des utilisateurs resteront protégés », a souligné Wardle. « Encore une couche supplémentaire ou une détection/protection peut être justifiée. »
Les résultats, malgré le bogue général des artefacts, sont un signe certain que les acteurs de la menace se tournent de plus en plus vers les systèmes macOS.
Un représentant de LockBit a depuis confirmé Ordinateur qui bipe que le chiffreur macOS est « en cours de développement actif », indiquant que le logiciel malveillant est susceptible de constituer une menace sérieuse pour la plate-forme.
