Ouvrir le menu principal

MacGeneration

Recherche

Trojan.MAC.RustDoor : une nouvelle porte dérobée cible macOS à travers Visual Studio

Anthony Nelzin-Santos

Friday 09 February 2024 à 18:00 • 19

macOS

Trojan.MAC.RustDoor, c’est le doux nom d’une nouvelle backdoor détectée par les chercheurs de Bitdefender. Dans la nature depuis le mois de novembre 2023 et encore active au 2 février, cette porte dérobée prend les atours d’une mise à jour de Visual Studio pour exfiltrer des fichiers vers un serveur de « commande et contrôle ». Si l’entreprise roumaine de cybersécurité n’est pas en mesure d’attribuer cette attaque à un acteur précis, plusieurs indices suggèrent un lien avec les spécialistes du rancongiciel BlackBasta et ALPHV/BlackCat.

Image Bitdefender.

Cette porte dérobée possède la première particularité d’être écrite en Rust, un langage de programmation dont « la syntaxe et la sémantique diffèrent de langages plus courants comme C ou Python, ce qui complique l’analyse et la détection de code malveillants par les chercheurs en sécurité », qui ont pourtant eu huit ans pour s’y former. La version la plus ancienne, qui n’a pas été découverte avant la semaine dernière, testait ses fonctionnalités de porte dérobée sans les exploiter.

La variante découverte le 22 novembre 2023 ajoutait une liste de propriétés directement issue d’un article décrivant des mécanismes de persistance, le graal des backdoors sur macOS, ainsi qu’un fichier de configuration. Il aura fallu attendre le 30 novembre pour qu’une troisième version intègre un script AppleScript chargé d’exfiltrer des documents possédant certaines extensions1 dans les dossiers ~/Bureau et ~/Documents ainsi que la base de données de l’application Notes.

Les données sont copiées dans un dossier caché, compressées dans une archive ZIP reprenant le nom de l’utilisateur, puis envoyées vers un serveur distant. Les fichiers ciblés montrent que les attaquants sont à la recherche de données permettant de compromettre des systèmes informatiques, comme des certificats de sécurité, des configurations VPN, des mots de passe ou encore des notes sécurisées. La porte dérobée fait en sorte de maintenir son fonctionnement en se greffant au Dock et en s’ajoutant aux tâches programmées du système.

Autre particularité, cette backdoor prend la forme d’une mise à jour de Visual Studio, alors même que Microsoft abandonnera la version Mac de son éditeur de code en aout prochain. Les malandrins ont même pris la peine de proposer une version Intel et une version Apple Silicon ! Certains détails du fonctionnement de Trojan.MAC.RustDoor rappellent des rançongiciels qui avaient touché Windows, notamment la famille ALPHV/BlackCat, elle aussi codée en Rust.


  1. Les extensions txt, rtf, doc, xls, xlsx, png, pdf, pem, asc, ppk, rdp, zip, sql, ovpn, kdbx, conf, key, json.  ↩︎

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

OWC annonce un premier SSD compatible Thunderbolt 5

12/09/2024 à 23:00

• 2


Embauchez une armée numérique pour faire effacer vos données personnelles du web 📍

12/09/2024 à 18:45


FixHub : un kit de soudure sur batterie USB-C signé iFixit

12/09/2024 à 17:45

• 9


Kernel Panic : l’équipe de MacG débriefe le keynote iPhone 16

12/09/2024 à 15:00

• 7


Un iPhone 16 Pro Max déjà vendu sur eBay, qu'il ne fallait surtout pas perdre dans un bar ou tester avec Geekbench

12/09/2024 à 12:30

• 24


Craig Federighi empAIe son chien avec Image Playground

12/09/2024 à 10:45

• 35


Les AirPods 4 n'ont plus de bouton visible

12/09/2024 à 10:44


Le générateur de vidéos par IA d’Adobe sera lancé d’ici la fin de l’année

12/09/2024 à 07:00

• 29


UPDF : jusqu'à 50 % de réduction et un iPhone 16 à gagner !!

Partenaire


Boulanger, Cultura et d’autres sites victimes de fuites de données

11/09/2024 à 21:17

• 42


Huit nouveaux emojis, des hiéroglyphes et des jeux vidéo dans Unicode 16.0

11/09/2024 à 19:30

• 7


Commandez dès maintenant votre coque pour iPhone 16 📍

11/09/2024 à 16:11


Free met à jour ses Freebox et répéteurs Wi-Fi 7 pour des soucis en 2,4 GHz

11/09/2024 à 15:45

• 14


Starlink passe de 59 à 72 € mensuels en mobilité, mais en couverture mondiale

11/09/2024 à 14:30

• 5


Back to School : les AirPods 4 maintenant offerts pour l’achat d’un Mac

11/09/2024 à 12:30

• 3


Puces A18 et A18 Pro : Apple abandonne le Bionic et livre un A18 qui ressemble à un A17

11/09/2024 à 11:14