Après avoir partagé des détails exclusifs sur ModStealer, un infostealer multiplateforme invisible aux principaux moteurs antivirus, Mosyle, un leader dans la gestion et la sécurité des appareils Apple, présente deux nouvelles menaces macOS qui passent totalement inaperçues.
Deux échantillons non détectés
Dans de nouvelles informations révélées, l’équipe de recherche sur la sécurité de Mosyle a identifié deux échantillons auparavant non détectés : Phoenix Worm, un stager multiplateforme, et ShadeStager, un implant modulaire macOS conçu pour le vol de données d’identification. Bien qu’ils ne soient pas directement liés dans leur fonctionnement, ils illustrent la sophistication croissante des malwares sur Mac.
Phoenix Worm : un stager furtif
Contraitement à son nom, Phoenix Worm agit comme un stager. Il s’agit d’un malware multiplateforme basé sur Golang, conçu pour établir une persistance et préparer une seconde vague d’attaques. Plutôt que de déployer le chargement complet immédiatement, il établit discrètement un point d’entrée. Cela présente plusieurs avantages.
Les principales fonctionnalités de Phoenix Worm incluent :
- Établir une communication avec un serveur de commande et de contrôle (C2) distant
- Générer des identifiants uniques pour les systèmes infectés
- Transmettre des données système aux attaquants
- Prendre en charge des mises à jour à distance et l’exécution de charges utiles supplémentaires
Selon Mosyle, Phoenix Worm ne semble pas être une menace autonome. Sa conception suggère plutôt qu’il fait partie d’un outil plus large, destiné à transférer l’exécution vers des charges utiles plus avancées plus loin dans la chaîne d’attaque.
ShadeStager : conçu pour le vol d’identifiants
ShadeStager fonctionne comme un outil post-exploitation, visant à extraire des données précieuses des systèmes déjà compromis. Bien que cela puisse sembler être un complément idéal à Phoenix Worm, les deux ne sont pas connectés.
ShadeStager cible en particulier les environnements de développement et l’infrastructure cloud. Il vise notamment :
- Les clés SSH et les hôtes connus
- Les informations d’identification cloud provenant d’AWS, Azure et GCP
- Les fichiers de configuration Kubernetes
- Les données d’authentification Git et Docker
- Les profils de navigateur complets sur les navigateurs majeurs
Il effectue également une reconnaissance intensive sur l’hôte, recueillant des informations utilisateur et de privilèges, des détails sur le système d’exploitation et le matériel, la configuration réseau, et des variables d’environnement liées aux sessions cloud et SSH. Toutes les données sont structurées et exfiltrées via HTTPS, avec prise en charge de l’exécution de commandes, de l’exfiltration de données et des téléchargements de fichiers.
Il est intéressant de noter que ShadeStager ne comprend pas d’adresse C2 codée en dur, et des portions du code du malware étaient visibles pour les chercheurs de Mosyle sans nécessiter d’ingénierie inverse des binaires. Cela suggère fortement que l’échantillon de malware était en cours de développement au moment de sa découverte.
Indicateurs de compromission
Pour les administrateurs de Mac cherchant à ajouter ces menaces à leurs outils de sécurité, Mosyle a partagé les hachages SHA256 suivants :
- ShadeStager : 7e8003bee92832b695feb7ae86967e13a859bdac4638fa76586b9202df3d0156
- Phoenix Worm : 54ef0c8d7e167053b711853057e3680d94a2130e922cf3c717adf7974888cad2
