Une des plus vieilles astuces des cybercriminels consiste à utiliser des jeux ou des applications piratés pour diffuser des programmes malveillants. Aussi incroyable que cela paraisse, il existe encore en 2024 des gens assez crédules pour croire au père Noël et que le téléchargement de logiciels et de jeux piratés depuis des sites Internet pirates est totalement sûr. Ce type de menace est connu depuis longtemps, mais les acteurs malveillants trouvent toujours de nouveaux moyens pour contourner la sécurité des ordinateurs de leurs victimes et propager des programmes malveillants.
Nous avons récemment découvert une nouvelle campagne de ce type ciblant les ordinateurs Apple exécutant les dernières versions de macOS (13.6 et versions ultérieures) et exploitant certaines fonctionnalités DNS (Domain Name System) pour télécharger des charges utiles malveillantes. Les victimes sont invitées à télécharger gratuitement des versions piratées d’applications populaires. Qu’est-ce qui attend ceux qui cèdent à la tentation ?
Fausse activation
Après avoir téléchargé l’image disque contenant l’application piratée, la victime est invitée à copier deux fichiers dans le dossier Applications : l’application elle-même et un » activateur « . Si vous vous vous contentez de copier l’application et de la lancer, elle ne fonctionnera pas. Suivant le manuel d’installation, l’application piratée doit d’abord être » activée « . D’après notre analyse, l’activateur ne fait rien de sophistiqué : il supprime simplement quelques octets au début du programme exécutable de l’application qui permette à celle-ci de fonctionner. Autrement dit, les cybercriminels ont modifié une application pré-craquée pour empêcher son fonctionnement si elle n’est pas » activée » au préalable. Évidemment, l’activateur a un effet secondaire néfaste : il demande des autorisations d’administrateur pour s’exécuter et utilise ces autorisations pour installer un script de téléchargement dans le système. Ce script télécharge ensuite depuis Internet une autre charge utile, une porte dérobée qui demande occasionnellement des commandes à ses opérateurs.
Liaison via DNS
Pour télécharger le script malveillant, l’activateur utilise un outil à la fois exotique et anodin : le Domain Name System (DNS). Nous avons déjà parlé du DNS et du DNS sécurisé, mais nous avons omis d’aborder une fonctionnalité technique intéressante de ce service. Chaque enregistrement DNS associe le nom Internet d’un serveur à son adresse IP, mais il peut également contenir une description en texte libre du serveur, appelée enregistrement TXT. C’est la faille exploitée par les acteurs malveillants qui ont incorporé des extraits de code malveillant à ces enregistrements TXT. L’activateur télécharge trois enregistrements TXT appartenant à un domaine malveillant et crée un script à partir de ceux-ci.
En apparence compliquée, cette configuration présente un certain nombre d’avantages. Pour commencer, l’activateur n’a rien de particulièrement suspect : toute application Internet demande des enregistrements DNS, c’est ainsi que doit commencer toute session de communication. Deuxièmement, les acteurs malveillants peuvent facilement mettre à jour le script pour modifier le schéma de l’infection et la charge utile finale en modifiant les enregistrements TXT du domaine. Et enfin, supprimer le contenu malveillant du Web n’est pas une tâche facile, en raison de la nature distribuée du système des noms de domaine. Les fournisseurs d’accès à Internet ne peuvent détecter cette violation de leurs stratégies facilement, étant donné que chaque enregistrement TXT n’embarque qu’un fragment de code malveillant qui ne présente aucune menace en soi.
Le boss final
Le script de téléchargement exécuté périodiquement permet au pirate informatique de mettre à jour la charge utile malveillante et d’exécuter l’action de son choix sur l’ordinateur de la victime. Au moment de notre analyse, l’intérêt des pirates informatiques se porte sur le vol de cryptomonnaies. La porte dérobée analyse automatiquement l’ordinateur de la victime, recherchant les portefeuilles Exodus ou Bitcoin, et les remplaçant par des versions contenant un cheval de Troie. Un portefeuille Exodus infecté vole la phrase secrète de l’utilisateur et un portefeuille Bitcoin infecté vole la clé de chiffrement utilisée pour chiffrer les clés privées. Cette dernière permet au pirate informatique de signer des transferts au nom de la victime. Ainsi, celui qui aura voulu économiser quelques dizaines d’euros sur des applications piratées en perdra bien davantage en cryptomonnaies.
Protégez vos portefeuilles de cryptomonnaies des attaques
Ce n’est pas nouveau, mais cela reste vrai : pour vous tenir à l’écart de cette menace et ne pas en être un jour la victime, ne téléchargez vos applications que depuis des sites marchands officiels. Avant de télécharger une application depuis le site Internet d’un développeur, assurez-vous qu’il s’agit du site et de l’application authentiques et non d’un site de phishing parmi d’autres.
Si vous envisagez de télécharger une version piratée d’une application, réfléchissez-y à deux fois. Les sites pirates « scrupuleux et dignes de confiance » sont aussi rares que les lutins et les licornes.
Quels que soient votre niveau de connaissances en informatique, votre prudence et votre souci du détail, assurez-vous que tous vos appareils sont entièrement protégés : téléphones, tablettes et ordinateurs. Kaspersky Premium est une bonne solution multiplateforme. Vérifiez que toutes les fonctionnalités de sécurité de base et avancées sont activées. Enfin, nous invitons les propriétaires de cryptomonnaies à lire nos instructions détaillées sur la protection des portefeuilles de cryptomonnaies, les hot comme les cold.