Il est loin le temps où macOS était protégé des virus et autres vers informatiques. Un nouveau malware visant les propriétaires de machine Apple s’intéresse à leurs portefeuilles de cryptomonnaies.
Les Bitcoins, Ethereum et autres cryptomonnaies ont beau être des actifs très volatils, cela ne les empêche pas d’être des cibles privilégiées des hackers mal intentionnés. Un logiciel malveillant, identifié par l’entreprise Kaspersky, tente de dérober les cryptos de nombreux internautes, profitant de la confiance un peu trop aveugle que peuvent accorder certains internautes à macOS.
Un malware caché dans un logiciel de « crack »
Dans une pirouette non dénuée d’ironie, le code malveillant se déguise d’abord en « logiciel » d’activation pour des applications obtenues illégalement. Censée faire sauter les protections qui accompagnent certaines apps, cette catégorie de logiciel est très populaire sur les sites dédiés au piratage d’applications.
Une fois l’activateur lancé, ce dernier demande le mot de passe administrateur de la machine pour, supposément, pour « patcher » le logiciel fraîchement piraté. Une fois les droits accordés, le bout de code vérifie la présence de Python 3 sur la machine et l’installe si besoin. Cela permet ensuite de télécharger un script depuis une adresse bidon (à savoir apple-health.org) et de commencer à infecter la machine. Histoire de se montrer discret, le script apparaît comme un simple enregistrement TXT venant d'un serveur DNS.
Exodus et Bitcoin core visés
Une fois le malware bien en place, ce dernier commence à récolter des informations sur la machine de la victime (la version de l’OS, les applications installées, le matériel utilisé, l'adresse IP, etc.) et se permet aussi de modifier certains paramètres systèmes pour rester actif, même après un redémarrage. Mais le but du programme est, semblerait-il, d’abord, de voler les cryptomonnaies des victimes.
Le script vérifie effectivement la présence de portefeuilles Bitcoin Core ou Exodus, deux applications de gestion de cryptos très populaire. S’ils les trouvent, le malware les remplace par une version vérolée. Dès lors que les victimes entrent leur mot de passe, les informations sont envoyées sur un serveur tiers et le portefeuille est vidé dans le même temps.
Si ce genre de malware « crypto-stealer », comme on les qualifie dans le milieu, n’est pas neuf, la méthode d’infection « est très ingénieuse » selon Kaspersky. Pas sûr que cela console celles et ceux qui se sont fait voler leurs cryptomonnaies, mais au moins l’arnaque est désormais connue.
Source : Kaspersky via BleepingComputer
