Ouvrir le menu principal

MacGeneration

Recherche

Trojan.MAC.RustDoor : une nouvelle porte dérobée cible macOS à travers Visual Studio

Anthony Nelzin-Santos

vendredi 09 février 2024 à 18:00 • 19

macOS

Trojan.MAC.RustDoor, c’est le doux nom d’une nouvelle backdoor détectée par les chercheurs de Bitdefender. Dans la nature depuis le mois de novembre 2023 et encore active au 2 février, cette porte dérobée prend les atours d’une mise à jour de Visual Studio pour exfiltrer des fichiers vers un serveur de « commande et contrôle ». Si l’entreprise roumaine de cybersécurité n’est pas en mesure d’attribuer cette attaque à un acteur précis, plusieurs indices suggèrent un lien avec les spécialistes du rancongiciel BlackBasta et ALPHV/BlackCat.

Image Bitdefender.

Cette porte dérobée possède la première particularité d’être écrite en Rust, un langage de programmation dont « la syntaxe et la sémantique diffèrent de langages plus courants comme C ou Python, ce qui complique l’analyse et la détection de code malveillants par les chercheurs en sécurité », qui ont pourtant eu huit ans pour s’y former. La version la plus ancienne, qui n’a pas été découverte avant la semaine dernière, testait ses fonctionnalités de porte dérobée sans les exploiter.

La variante découverte le 22 novembre 2023 ajoutait une liste de propriétés directement issue d’un article décrivant des mécanismes de persistance, le graal des backdoors sur macOS, ainsi qu’un fichier de configuration. Il aura fallu attendre le 30 novembre pour qu’une troisième version intègre un script AppleScript chargé d’exfiltrer des documents possédant certaines extensions1 dans les dossiers ~/Bureau et ~/Documents ainsi que la base de données de l’application Notes.

Les données sont copiées dans un dossier caché, compressées dans une archive ZIP reprenant le nom de l’utilisateur, puis envoyées vers un serveur distant. Les fichiers ciblés montrent que les attaquants sont à la recherche de données permettant de compromettre des systèmes informatiques, comme des certificats de sécurité, des configurations VPN, des mots de passe ou encore des notes sécurisées. La porte dérobée fait en sorte de maintenir son fonctionnement en se greffant au Dock et en s’ajoutant aux tâches programmées du système.

Autre particularité, cette backdoor prend la forme d’une mise à jour de Visual Studio, alors même que Microsoft abandonnera la version Mac de son éditeur de code en aout prochain. Les malandrins ont même pris la peine de proposer une version Intel et une version Apple Silicon ! Certains détails du fonctionnement de Trojan.MAC.RustDoor rappellent des rançongiciels qui avaient touché Windows, notamment la famille ALPHV/BlackCat, elle aussi codée en Rust.


  1. Les extensions txt, rtf, doc, xls, xlsx, png, pdf, pem, asc, ppk, rdp, zip, sql, ovpn, kdbx, conf, key, json.  ↩︎

illustration magazine 25 ans

MacGeneration a 25 ans !

Participez à la fête et découvrez l’histoire de votre site favori en précommandant notre magazine exclusif.

Je précommande le magazine

Test de la télécommande universelle de SwitchBot : la Logitech Harmony a-t-elle enfin un successeur ?

11:41


Apple préparerait trois générations de modems pour ses iPhone d'ici 2027

11:08


Sortie de veille : Apple Intelligence va rester gratuit… mais à quel prix ?

08:00

• 9


Class action sur les 5 Go d’iCloud : Apple gagne en appel

06/12/2024 à 22:00

• 34


L’équipe en charge du Mac mini dévoile ses secrets de design

06/12/2024 à 21:30

• 62


Surface Studio : Microsoft met à la retraite le PC de Bill Gates

06/12/2024 à 17:45

• 36


Gravure à 2 nm : TSMC serait plus que satisfait du rendement des premières fournées de test

06/12/2024 à 16:30

• 14


Le FlatMac voit le jour après 40 ans passés dans les cartons

06/12/2024 à 14:55

• 13


Google permet désormais de facilement voir des résultats non personnalisés

06/12/2024 à 13:15

• 6


Apple saura-t-elle se faire une place dans votre salon ?

06/12/2024 à 12:44


Sundar Pichai promet des « changements profonds » pour Google Search en 2025

06/12/2024 à 09:53

• 12


Les Megapacks de Tesla vont trouver une place sur le réseau électrique français

06/12/2024 à 08:15

• 38


RCS : où en est le remplaçant du SMS sur l'iPhone en France ?

06/12/2024 à 08:08


Refurb : -370 € sur l'écran 5K Apple Studio Display

06/12/2024 à 07:36

• 11


OpenAI lance trois nouveaux modèles et un nouveau tarif élitiste

05/12/2024 à 20:15

• 36


macOS 15.2 approche de la finale avec une release candidate

05/12/2024 à 19:18

• 17