Un malware Mac continue de voler les données de navigation et les crypto-actifs
Un chercheur en sécurité découvre un nouveau logiciel malveillant sur le réseau. Celui-ci vise les données personnelles ainsi que les crypto-actifs et est prêt pour l'avenir. Il fonctionnerait également sur macOS 14 "Sonoma". Le système d'exploitation ne sera toutefois pas disponible avant octobre.
Un chercheur en sécurité, qui se fait appeler "iamdeadlyz" sur le net, a découvert un nouveau malware. Il l'a baptisé "Realst". Celui-ci serait actuellement très actif sur les Macs. Fait intéressant : la dernière variante du virus est d'ores et déjà opérationnelle sous macOS 14 "Sonoma". Et ce, bien que le système d'exploitation ne soit pas prévu avant l'automne.
Le malware trouve son chemin vers votre ordinateur par le biais de faux jeux blockchain. Les jeux sont activement promus sur différents sites Web, plateformes de médias sociaux et sur Discord. Certains d'entre eux sont déjà connus par leur nom :
- Brawl Earth WildWorld
- Dawnland
- Destruction
- Evolion
- Pearl
- Olympique des reptiles
- SaintLegend
Les personnes intéressées recevront ensuite un code d'accès par message personnel. Celui-ci est nécessaire pour télécharger les prétendus jeux sur les sites des "fabricants". Il arrive aussi que l'on prétende rechercher des personnes pour des essais bêta. Malgré cette stratégie un peu grossière, les auteurs semblent avoir de plus en plus de succès.
Les paquets d'installation ne contiennent toutefois pas de jeux, mais les logiciels malveillants correspondants. Concrètement, il s'agit à chaque fois d'un fichier ".pkg" ou ".dmg". Ces derniers contiennent à leur tour deux fichiers nommés "game.py" et "installer.py".
Source : SentinelOne
Le fichier "game.py" est un stealer Firefox, le fichier "installer.py" est un "chainbreaker". Le nom de Firefox-Stealer est tout un programme. Il contourne les cryptages du navigateur Mozilla et récupère les mots de passe, numéros de carte de crédit et autres données éventuellement enregistrés. Chainbreaker est un programme extracteur qui peut lire le trousseau de clés de macOS. Les mots de passe, les clés mais aussi les certificats peuvent ainsi être utilisés de manière abusive.
Lorsque les certificats sont ajoutés aux fichiers, le système d'exploitation les considère comme fiables. Les experts ont constaté que cela s'est produit à plusieurs reprises dans le passé. Les signatures des identifiants de développeurs Apple ont été utilisées. Celles-ci ont été désactivées entre-temps.
"Realst" apparaît sous différentes formes
Comme SentinelOne l'a encore découvert, il existe 16 variantes de "Realst", dont la structure est différente. Leur approche est également différente. Mais leur objectif commun est d'aspirer les données des navigateurs (Firefox, Chrome, Opera, Brave et Vivaldi), de l'application de bureau Telegram et de divers portefeuilles cryptographiques.
La prudence est donc de mise lors du téléchargement de jeux sur la blockchain. Si un tel incident s'est déjà produit, il est utile de réinitialiser l'appareil. Les mots de passe enregistrés ainsi que d'autres données sensibles doivent également être modifiés le plus rapidement possible.
Photo de couverture:Shutterstock
Depuis que j'ai découvert comment activer les deux canaux téléphoniques de la carte RNIS pour obtenir une plus grande bande passante, je bricole des réseaux numériques. Depuis que je sais parler, je travaille sur des réseaux analogiques. Un Winterthourois d'adoption au cœur rouge et bleu.