Trojan.MAC.RustDoor, c’est le doux nom d’une nouvelle backdoor détectée par les chercheurs de Bitdefender. Dans la nature depuis le mois de novembre 2023 et encore active au 2 février, cette porte dérobée prend les atours d’une mise à jour de Visual Studio pour exfiltrer des fichiers vers un serveur de « commande et contrôle ». Si l’entreprise roumaine de cybersécurité n’est pas en mesure d’attribuer cette attaque à un acteur précis, plusieurs indices suggèrent un lien avec les spécialistes du rancongiciel BlackBasta et ALPHV/BlackCat.
Cette porte dérobée possède la première particularité d’être écrite en Rust, un langage de programmation dont « la syntaxe et la sémantique diffèrent de langages plus courants comme C ou Python, ce qui complique l’analyse et la détection de code malveillants par les chercheurs en sécurité », qui ont pourtant eu huit ans pour s’y former. La version la plus ancienne, qui n’a pas été découverte avant la semaine dernière, testait ses fonctionnalités de porte dérobée sans les exploiter.
La variante découverte le 22 novembre 2023 ajoutait une liste de propriétés directement issue d’un article décrivant des mécanismes de persistance, le graal des backdoors sur macOS, ainsi qu’un fichier de configuration. Il aura fallu attendre le 30 novembre pour qu’une troisième version intègre un script AppleScript chargé d’exfiltrer des documents possédant certaines extensions1 dans les dossiers ~/Bureau
et ~/Documents
ainsi que la base de données de l’application Notes.
Les données sont copiées dans un dossier caché, compressées dans une archive ZIP reprenant le nom de l’utilisateur, puis envoyées vers un serveur distant. Les fichiers ciblés montrent que les attaquants sont à la recherche de données permettant de compromettre des systèmes informatiques, comme des certificats de sécurité, des configurations VPN, des mots de passe ou encore des notes sécurisées. La porte dérobée fait en sorte de maintenir son fonctionnement en se greffant au Dock et en s’ajoutant aux tâches programmées du système.
Autre particularité, cette backdoor prend la forme d’une mise à jour de Visual Studio, alors même que Microsoft abandonnera la version Mac de son éditeur de code en aout prochain. Les malandrins ont même pris la peine de proposer une version Intel et une version Apple Silicon ! Certains détails du fonctionnement de Trojan.MAC.RustDoor rappellent des rançongiciels qui avaient touché Windows, notamment la famille ALPHV/BlackCat, elle aussi codée en Rust.
-
Les extensions
txt
,rtf
,doc
,xls
,xlsx
,png
,pdf
,pem
,asc
,ppk
,rdp
,zip
,sql
,ovpn
,kdbx
,conf
,key
,json
. ↩︎