Les menaces de cybersécurité évoluent et la dernière menace ciblant les utilisateurs de Mac implique des chevaux de Troie proxy sophistiqués. Ce logiciel malveillant se cache dans les téléchargements apparemment inoffensifs d’applications macOS populaires, posant un risque important pour la sécurité de votre appareil.
Comprendre la menace des chevaux de Troie proxy: Les chevaux de Troie proxy transforment subrepticement les ordinateurs infectés en centres de transfert de trafic involontaires. Ces terminaux sont ensuite utilisés pour anonymiser les activités illicites, notamment le piratage, le phishing et la facilitation des transactions de marchandises illégales. La nature insidieuse de ce malware réside dans sa capacité à masquer sa présence tout en exploitant votre appareil à des fins nuisibles.
L’appât dangereux
Les cybercriminels qui orchestrent cette campagne s’attaquent aux utilisateurs à la recherche d’alternatives gratuites aux logiciels premium. Kaspersky a découvert une tendance inquiétante selon laquelle 35 applications largement utilisées, notamment des éditeurs d’images, des convertisseurs vidéo et des outils de récupération de données, étaient contaminées par le cheval de Troie proxy. Certains noms notables parmi les logiciels compromis incluent :
- Téléchargeur vidéo 4K Pro
- Aiseesoft Mac Convertisseur Vidéo Ultime
- Aissessoft Récupération de données Mac
- Récupération de données Android AnyMP4 pour Mac
- Studio d’art Pro
- AweCleaner
- Downie 4
- Récupération de données FonePaw
- MacDroid
- Convertisseur vidéo MacX Pro
- NetShredX
- Recherche de chemin
- Bureau de projet X
- Esquisser
- SQLPro Studio
- Vélin
- Wondershare UniConverter 13
Contrairement à leurs homologues légitimes, qui sont distribuées sous forme d’images disque, les versions infectées sont conditionnées sous forme de fichiers PKG. Ce changement apparemment inoffensif cache une intention malveillante, car les fichiers PKG peuvent exécuter des scripts lors de l’installation, héritant d’autorisations élevées. Une fois installés, ces scripts déclenchent discrètement le cheval de Troie, le camouflant en un processus système légitime nommé WindowServer.
L’opération furtive du cheval de Troie
Pour éviter d’être détecté, le troyen exploite des déguisements astucieux. Il adopte le nom « GoogleHelperUpdater.plist », imitant un fichier de configuration de Google, et exploite le WindowServer de macOS, un véritable processus système gérant l’interface utilisateur graphique. Cette tactique de camouflage vise à fonctionner de manière transparente dans le cadre des fonctions de routine du système, évitant ainsi les soupçons.
Lors de l’activation, le cheval de Troie établit une connexion avec son serveur de commande et de contrôle (C2) via DNS-over-HTTPS (DoH). Bien que Kaspersky n’ait pas pu observer de commandes spécifiques en action, l’analyse suggère sa capacité à créer des connexions TCP ou UDP, permettant des activités proxy selon les instructions des opérateurs.
La même infrastructure C2 héberge des charges utiles de chevaux de Troie proxy conçues pour les systèmes Android et Windows. Cette approche large indique que les cybercriminels à l’origine de ces attaques ciblent un large éventail d’appareils et de systèmes d’exploitation.
Restez vigilant
Face à cette menace croissante, il est primordial de faire preuve de prudence lors du téléchargement de logiciels. Tenez-vous-en aux sources officielles pour l’acquisition de logiciels, évitez de télécharger à partir de sources non vérifiées ou piratées et mettez régulièrement à jour votre logiciel de sécurité pour protéger votre Mac des menaces évolutives.
Être informé et vigilant reste la défense la plus solide contre ces tentatives malveillantes visant à compromettre votre appareil et vos données.
Restez prudent et protégé.
Crédit image en vedette : Tianyi Ma/Unsplash