Un nouveau malware baptisé DigitStealer s'attaque aux utilisateurs de macOS et tente de voler l'intégralité de vos données personnelles. Ce dernier cible spécifiquement les Mac récents.
Les chercheurs de Jamf Threat Labs ont détecté ce nouveau malware distribué via un fichier déguisé en application légitime appelée "DynamicLake". L'attaque débute par un site frauduleux qui héberge un fichier DMG. Bon, d'emblée, l'infection initiale devrait nous mettre la puce à l'oreille puisqu'on nous demande de glisser un élément dans le Terminal. Évidemment, cette manipulation lance un script qui télécharge et exécute DigitStealer.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Des vérifications matérielles pour cibler uniquement les Mac récents
Si généralement les malwares ciblent les anciennes machines les moins susceptibles d'embarquer les derniers correctifs de sécurité, ici, au contraire, DigitStealer ne s'attaque qu'aux Mac les plus récents.
Pour sélectionner ses cibles, le script interroge le processeur via des commandes système (sysctl). Celles-ci vérifient la présence de fonctionnalités ARM introduites avec les puces M2. Quatre caractéristiques précises sont recherchées : BTI (protection des branches d'exécution), SSBS (sécurité contre les attaques spéculatives), ECV (compteurs virtualisés) et RPRES (préservation du mode d'arrondi). Ces vérifications permettent au malware d'éviter les anciens Mac équipés de processeurs Intel, les modèles avec une puce M1, et surtout les machines virtuelles utilisées par les analystes en sécurité.
Le code examine également la région configurée sur le système et refuse de s'exécuter dans certains pays, probablement pour éviter des poursuites judiciaires dans le pays d'origine des attaquants.
Un vol de données orchestré en plusieurs étapes
Comme beaucoup de malwares, pour passer outre les antivirus, DigiStealer ne s'exécute pas sur le support de stockage de la machine mais fonctionne entièrement en mémoire vive. Il déploie quatre modules successifs, chacun récupéré à distance et exécuté directement dans la RAM.
Le premier module affiche une fausse fenêtre système pour obtenir le mot de passe utilisateur, puis récupère les documents depuis le Bureau, les Téléchargements et les Notes. Le deuxième cible les données des navigateurs (Chrome, Brave, Edge, Firefox), les portefeuilles de cryptomonnaies (Ledger, Electrum, Exodus), les mots de passe du trousseau macOS, les configurations VPN (OpenVPN et Tunnelblick) et les sessions Telegram. Toutes ces informations sont envoyées vers le domaine goldenticketsshop.com, une imitation du site légitime goldenticketshop.com.
Le troisième module modifie l'application Ledger Live en remplaçant un fichier interne téléchargé en trois morceaux distincts puis fusionnés, une technique qui vise à contourner les détections basées sur l'analyse d'un fichier complet. De son côté le dernier module installe une backdoor persistante laquelle interroge un serveur de commande toutes les 10 secondes pour recevoir de nouvelles instructions. Cette backdoor récupère son adresse de connexion via un enregistrement DNS, permettant aux attaquants de modifier le comportement du malware sans altérer le code installé.
Source : Jamf
