Trojan.MAC.RustDoor : une nouvelle porte dérobée cible macOS à travers Visual Studio

Anthony Nelzin-Santos | 09/02/2024 à 18:00

Trojan.MAC.RustDoor, c’est le doux nom d’une nouvelle backdoor détectée par les chercheurs de Bitdefender. Dans la nature depuis le mois de novembre 2023 et encore active au 2 février, cette porte dérobée prend les atours d’une mise à jour de Visual Studio pour exfiltrer des fichiers vers un serveur de « commande et contrôle ». Si l’entreprise roumaine de cybersécurité n’est pas en mesure d’attribuer cette attaque à un acteur précis, plusieurs indices suggèrent un lien avec les spécialistes du rancongiciel BlackBasta et ALPHV/BlackCat.

Cette porte dérobée possède la première particularité d’être écrite en Rust, un langage de programmation dont « la syntaxe et la sémantique diffèrent de langages plus courants comme C ou Python, ce qui complique l’analyse et la détection de code malveillants par les chercheurs en sécurité », qui ont pourtant eu huit ans pour s’y former. La version la plus ancienne, qui n’a pas été découverte avant la semaine dernière, testait ses fonctionnalités de porte dérobée sans les exploiter.

La variante découverte le 22 novembre 2023 ajoutait une liste de propriétés directement issue d’un article décrivant des mécanismes de persistance, le graal des backdoors sur macOS, ainsi qu’un fichier de configuration. Il aura fallu attendre le 30 novembre pour qu’une troisième version intègre un script AppleScript chargé d’exfiltrer des documents possédant certaines extensions¹ dans les dossiers ~/Bureau et ~/Documents ainsi que la base de données de l’application Notes.

Les données sont copiées dans un dossier caché, compressées dans une archive ZIP reprenant le nom de l’utilisateur, puis envoyées vers un serveur distant. Les fichiers ciblés montrent que les attaquants sont à la recherche de données permettant de compromettre des systèmes informatiques, comme des certificats de sécurité, des configurations VPN, des mots de passe ou encore des notes sécurisées. La porte dérobée fait en sorte de maintenir son fonctionnement en se greffant au Dock et en s’ajoutant aux tâches programmées du système.

Autre particularité, cette backdoor prend la forme d’une mise à jour de Visual Studio, alors même que Microsoft abandonnera la version Mac de son éditeur de code en aout prochain. Les malandrins ont même pris la peine de proposer une version Intel et une version Apple Silicon ! Certains détails du fonctionnement de Trojan.MAC.RustDoor rappellent des rançongiciels qui avaient touché Windows, notamment la famille ALPHV/BlackCat, elle aussi codée en Rust.

Les extensions txt, rtf, doc, xls, xlsx, png, pdf, pem, asc, ppk, rdp, zip, sql, ovpn, kdbx, conf, key, json. ↩︎

Sortie de veille : quels iPad en vedette du prochain keynote Apple ?

Orange n’est pas gêné par la Freebox Ultra, bien au contraire

Le « smishing » monte en puissance : comment se protéger de cette arnaque ? 📍

Orange et Free en tête du classement ARCEP de la satisfaction client, SFR bon dernier

BeigeAloneBarnacle | 09/02/2024 à 18:09

Pas compris comment on chopait ce truc

ssssteffff | 09/02/2024 à 18:12

@BeigeAloneBarnacle

A priori avec une mise à jour de Visual Studio ou de Visual Studio Code, ce n’est pas tout à fait clair.

clive-guilde | 09/02/2024 à 18:25

@ssssteffff

Je suis d’accord. Le titre et le corps du texte disent le contraire.
Macg une correction s’il vous plait 🙏 !?

Artefact3000 | 09/02/2024 à 18:26

@BeigeAloneBarnacle

Moi non plus…

En installant d’abord une version pirate?

PiRMeZuR | 09/02/2024 à 18:38

Il s’agit de Visual Studio, pas de Visual Studio Code.

Donc on peut se faire infecter en tombant sur une fausse mise à jour de Visual Studio (dont Microsoft a récemment arrêté le support pour Mac) et en l’installant.

UraniumB | 09/02/2024 à 20:13

@PiRMeZuR

Merci de l’éclaircissement

xDave | 10/02/2024 à 01:10

@PiRMeZuR

👍🏽

Je ne savais même pas que MS était assez c… pour avoir deux noms de softs quasi identiques.

Faut quand même faire exprès d’aller chercher une mise à jour en ligne il y a bien un auto-update?

unixorn | 10/02/2024 à 01:21

Microsoft est justement spécialiste dans le domaine, c'est pareil avec les Xbox. Et dans le cas de VS il n'y a pas deux mais trois soft nommés à peu près de la même façon : Visual Studio (le "vrai"), Visual Studio Code et Visual Studio for Mac dont il est question dans l'article.

vicento | 09/02/2024 à 19:35

Comment on vérifie que l’on est infecté ?

Flyingbike | 09/02/2024 à 19:40

@vicento

Tu vas dans /applications

Si l’une d’elles commence par « Microsoft… », c’est foutu.

melaure | 09/02/2024 à 23:24

Très bonne remarque !

lepoulpebaleine | 09/02/2024 à 20:21

Question bête : Rust, c’est si difficile que ça à apprendre ? Huit ans de formation ne suffisent pas ???

Sometime | 09/02/2024 à 21:09

@lepoulpebaleine

pas nécessairement. mais cela fait a peu prêt 8 ans que le language est disponible (dans sa premiere version stable 1.0) . donc 8 ans que les analystes et autres chercheurs auraient pu adapter leurs outils pour mieux detecter, comprendre ce qui est codé en rust.

jog_ch | 10/02/2024 à 06:50

« ainsi que la base de données de l’application Notes »

Est-ce que cela inclut le contenu des Notes ? Quid des notes protégées via le mot de passe ? Elles sont chiffrées normalement, non ?

deodorant | 10/02/2024 à 09:26

Effectivement, pour ceux qui doivent absolument travailler avec VisualStudio tout court, dev en C# si je ne me trompe pas sur le cas d’usage, quel est le moyen de se prémunir ? Si on se procure exclusivement la mise à jour depuis le site officiel, y’a t-il des risques ? Quelles versions seraient concernées ? Quelles mesures préventives ?

oomu | 11/02/2024 à 02:56

sigh...

starsk | 12/02/2024 à 09:49

Je n'ai pas compris si on risquait d'avoir ce virus sur nos machines... Le moyen de s'en prémunir ? De vérifier si une machine est infectée ? Un peu plus d'information svp