Fausses applications d’entretien d’embauche : un cheval de Troie vole les données et l’argent des utilisateurs Windows et macOS
Hot news | Toutes les actualités | Alertes virales
L'attaque commence par la prise de contact les victimes potentielles, auxquelles un poste est proposé. Les malfaiteurs invitent ensuite les utilisateurs à des entretiens et leur fournissent des liens vers des «plateformes» de réunion en ligne, soi-disant destinées à rejoindre une vidéoconférence. Ces sites web semblent légitimes, mais il s’agit en réalité de pages frauduleuses. Elles téléchargent le logiciel malveillant JobStealer, dissimulé sous l'apparence d'un programme de conférence en ligne. Les cybercriminels utilisent également différentes apparences pour ces ressources en ligne et modifient le nom des programmes. Nos spécialistes ont identifié des variantes portant des noms tels que MeetLab, Juseo, Meetix, Carolla, et autres. Dans certains cas, les cybercriminels utilisent même le nom de services légitimes, comme Webex.
Exemples de faux sites web de visioconférence à partir desquels JobStealer est téléchargé.
Pour convaincre les utilisateurs que les plateformes sont pleinement fonctionnelles, les escrocs créent des chaînes Telegram et des comptes de médias sociaux correspondants, par exemple, X.
Pour dissimuler le cheval de Troie sous l'apparence d'un logiciel légitime, les attaquants simulent une activité sur les réseaux sociaux.
Les visiteurs des sites web malveillants se voient proposer deux options pour installer le programme sur les appareils macOS :
- Copier et exécuter la commande bash indiquée sur le site web dans le terminal ;
- Télécharger le fichier d'image disque au format .dmg et l’exécuter.
Le cheval de Troie JobStealer est téléchargé à partir de sites web malveillants, à la fois sous forme de conteneur DMG et en exécutant une commande bash dans le terminal.
Dans le premier cas, lors de l'exécution de la commande dans le terminal, un script est automatiquement téléchargé et exécuté depuis Internet, lequel télécharge et exécute le fichier exécutable JobStealer (détecté comme Mac.PWS.JobStealer.1).
Dans le second cas, l'image DMG téléchargée contient initialement les fichiers mentionnés ci-dessus. Une fois montée, elle affiche les instructions d'installation de l'application. Ces instructions invitent l'utilisateur à ouvrir un terminal et à y glisser le script inclus. En réalité, au lieu d'installer un logiciel de visioconférence, le script lance un fichier cheval de Troie.
L'image montrant les instructions affichées à l'ouverture du fichier d'image du cheval de Troie JobStealer
Mac.PWS.JobStealer.1 est un fichier conteneur exécutable au format Fat Mach-O et contient du code binaire pour plusieurs architectures de processeur à la fois - x64 et arm6. Selon la plateforme de l'ordinateur infecté, lors du lancement du cheval de Troie, le composant correspondant au processeur cible est automatiquement activé.
Il est à noter qu'il existe différentes versions de Mac.PWS.JobStealer.1. Les versions précédentes du logiciel malveillant ne prenaient pas en charge les ordinateurs Mac dotés d'une architecture arm64. Elles étaient également dépourvues de mécanismes d'obfuscation, que les auteurs du logiciel malveillant ont commencé à ajouter et à renforcer au fil des mises à jour.
Après son lancement, Mac.PWS.JobStealer.1 1affiche une fenêtre de phishing, où il signale une prétendue erreur dans son fonctionnement. Pour « remédier » au problème, le logiciel malveillant demande à l’utilisateur de fournir le mot de passe de son compte.
Une fenêtre d’hameçonnage demande le mot de passe d’un compte utilisateur Mac.
Ensuite, Mac.PWS.JobStealer.1 collecte les données suivantes :
- Version du système d'exploitation et identifiant de l'ordinateur ;
- Détails d'environ 300 extensions de navigateur/portefeuilles crypto installés sur les navigateurs cibles basés sur Chromium (Chrome, Opera, Brave, OperaGX, Vivaldi, Edge, Arc, CocCoc) ;
- Cookies de ces navigateurs ;
- mots de passe, ainsi que les informations de carte bancaire enregistrées dans les listes de remplissage automatique du navigateur ;
- fichiers de messagerie Telegram provenant des répertoires /Library/Application Support/Telegram Desktop/tdata et /Documents/temp_data/Apps/Telegram, où sont stockés les clés d'autorisation de session, les fichiers téléchargés, etc. ;
- notes de l'utilisateur issues de l'application Notes native de macOS ;
- disponibilité dans le système des applications de portefeuille crypto Ledger Live et Trezor Suite.
Ces données sont placées dans une archive ZIP et téléchargées sur un serveur C2.
Les auteurs du virus ont également développé une version du cheval de Troie JobStealer pour les ordinateurs Windows. Ses fonctionnalités sont similaires à celles de la version macOS. De plus, certains sites web malveillants distribuant le logiciel malveillant proposent des sections permettant de télécharger l'application pour d'autres systèmes d'exploitation courants. Cependant, nos analystes antivirus n'ont détecté aucune distribution de ce type à ce jour. Par exemple, le bouton de téléchargement du programme pour Linux est soit inactif, soit il redirige vers la version Windows du cheval de Troie. De plus, les sections de téléchargement pour iOS et Android indiquent que ces versions sont en cours de développement. Il est également possible que des attaquants commencent à distribuer des variantes du cheval de Troie pour ces plateformes à l'avenir.
Des sites web malveillants pourraient potentiellement distribuer des versions du cheval de Troie JobStealer pour Linux, iOS et Android.
Toutes les modifications connues du logiciel malveillant JobStealer sont détectées et supprimées de manière fiable par les produits antivirus Dr.Web Security Space pour macOS et Windows et ne constituent aucune menace pour nos utilisateurs. Les sites web frauduleux distribuant des chevaux de Troie ont été ajoutés à la base de données des ressources non recommandées et dangereuses et sont également bloqués par Dr.Web.
MITRE ATT&CK®
Nous avons analysé le logiciel malveillant JobStealer à l'aide du framework MITRE ATT&CK®, qui est une matrice décrivant les tactiques et les techniques utilisées par les cybercriminels pour attaquer les systèmes informatiques. En conséquence, les techniques clés suivantes ont été identifiées :
| Étape | Technique |
|---|---|
| Exécution |
Exécution assistée par l'utilisateur (T1204) Copier-coller malveillant (T1204.004) Fichier malveillant (T1204.002) |
| Détection | Détection de fichiers et de répertoires (T1083) |
| Collecte de données | Collecte automatisée (T1119) Données du système local (T1005) Identifiants provenant de gestionnaires de mots de passe (T1555) Trousseau d'accès (T1555.001) Identifiants provenant de navigateurs (T1555.003) Interception des données saisies (T1056) Interception d’entrée GUI (T1056.002) Archivage des données collectées (T1560) |
| Organisation de la gestion | Service Web (T1102) |
| Exfiltration de données | Exfiltration automatisée (T1020) Exfiltration via le canal de contrôle (T1041) Exfiltration via service Web (T1567) |
Plus d'info sur Mac.PWS.JobStealer.1