{"id":21445,"date":"2024-02-07T11:53:16","date_gmt":"2024-02-07T09:53:16","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=21445"},"modified":"2024-02-07T11:53:16","modified_gmt":"2024-02-07T09:53:16","slug":"fake-macos-activator-steals-bitcoin-exodus-uses-dns","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/21445\/","title":{"rendered":"Comment voler des cryptomonnaies via DNS"},"content":{"rendered":"<p>Une des plus vieilles astuces des cybercriminels consiste \u00e0 utiliser des jeux ou des applications pirat\u00e9s pour diffuser des programmes malveillants. Aussi incroyable que cela paraisse, il existe encore en 2024 des gens assez cr\u00e9dules pour croire au p\u00e8re No\u00ebl et que le t\u00e9l\u00e9chargement de logiciels et de jeux pirat\u00e9s depuis des sites Internet pirates est totalement s\u00fbr. Ce type de menace est connu depuis longtemps, mais les acteurs malveillants trouvent toujours de nouveaux moyens pour contourner la s\u00e9curit\u00e9 des ordinateurs de leurs victimes et propager des programmes malveillants.<\/p>\n<p>Nous avons r\u00e9cemment <a href=\"https:\/\/securelist.com\/new-macos-backdoor-crypto-stealer\/111778\/\" target=\"_blank\" rel=\"noopener\">d\u00e9couvert<\/a> une nouvelle campagne de ce type ciblant les ordinateurs Apple ex\u00e9cutant les derni\u00e8res versions de macOS (13.6 et versions ult\u00e9rieures) et exploitant certaines fonctionnalit\u00e9s DNS (Domain Name System) pour t\u00e9l\u00e9charger des charges utiles malveillantes. Les victimes sont invit\u00e9es \u00e0 t\u00e9l\u00e9charger gratuitement des versions pirat\u00e9es d\u2019applications populaires. Qu\u2019est-ce qui attend ceux qui c\u00e8dent \u00e0 la tentation\u00a0?<\/p>\n<h2>Fausse activation<\/h2>\n<p>Apr\u00e8s avoir t\u00e9l\u00e9charg\u00e9 l\u2019image disque contenant l\u2019application pirat\u00e9e, la victime est invit\u00e9e \u00e0 copier deux fichiers dans le dossier Applications\u00a0: l\u2019application elle-m\u00eame et un \u00a0\u00bb\u00a0activateur\u00a0\u00ab\u00a0. Si vous vous vous contentez de copier l\u2019application et de la lancer, elle ne fonctionnera pas. Suivant le manuel d\u2019installation, l\u2019application pirat\u00e9e doit d\u2019abord \u00eatre \u00a0\u00bb\u00a0activ\u00e9e\u00a0\u00ab\u00a0. D\u2019apr\u00e8s notre analyse, l\u2019activateur ne fait rien de sophistiqu\u00e9\u00a0: il supprime simplement quelques octets au d\u00e9but du programme ex\u00e9cutable de l\u2019application qui permette \u00e0 celle-ci de fonctionner. Autrement dit, les cybercriminels ont modifi\u00e9 une application pr\u00e9-craqu\u00e9e pour emp\u00eacher son fonctionnement si elle n\u2019est pas \u00a0\u00bb\u00a0activ\u00e9e\u00a0\u00a0\u00bb au pr\u00e9alable. \u00c9videmment, l\u2019activateur a un effet secondaire n\u00e9faste\u00a0: il demande des autorisations d\u2019administrateur pour s\u2019ex\u00e9cuter et utilise ces autorisations pour installer un script de t\u00e9l\u00e9chargement dans le syst\u00e8me. Ce script t\u00e9l\u00e9charge ensuite depuis Internet une autre charge utile, une <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/backdoor\/\" target=\"_blank\" rel=\"noopener\">porte d\u00e9rob\u00e9e<\/a> qui demande occasionnellement des commandes \u00e0 ses op\u00e9rateurs.<\/p>\n<div id=\"attachment_21446\" style=\"width: 1174px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2024\/02\/07113310\/fake-macos-activator-steals-bitcoin-exodus-uses-DNS-01.jpg\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-21446\" class=\"size-full wp-image-21446\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2024\/02\/07113310\/fake-macos-activator-steals-bitcoin-exodus-uses-DNS-01.jpg\" alt=\"Manuel d'installation, fen\u00eatre d'activation et demande de mot de passe administrateur\" width=\"1164\" height=\"1117\"><\/a><p id=\"caption-attachment-21446\" class=\"wp-caption-text\">Manuel d\u2019installation, fen\u00eatre d\u2019activation et demande de mot de passe administrateur<\/p><\/div>\n<h2>Liaison via DNS<\/h2>\n<p>Pour t\u00e9l\u00e9charger le script malveillant, l\u2019activateur utilise un outil \u00e0 la fois exotique et anodin\u00a0: le Domain Name System (DNS). Nous avons d\u00e9j\u00e0 parl\u00e9 du DNS et du <a href=\"https:\/\/www.kaspersky.fr\/blog\/secure-dns-private-dns-benefits\/20191\/\" target=\"_blank\" rel=\"noopener\">DNS s\u00e9curis\u00e9<\/a>, mais nous avons omis d\u2019aborder une fonctionnalit\u00e9 technique int\u00e9ressante de ce service. Chaque enregistrement DNS associe le nom Internet d\u2019un serveur \u00e0 son adresse IP, mais il peut \u00e9galement contenir une description en texte libre du serveur, appel\u00e9e enregistrement TXT. C\u2019est la faille exploit\u00e9e par les acteurs malveillants qui ont incorpor\u00e9 des extraits de code malveillant \u00e0 ces enregistrements TXT. L\u2019activateur t\u00e9l\u00e9charge trois enregistrements TXT appartenant \u00e0 un domaine malveillant et cr\u00e9e un script \u00e0 partir de ceux-ci.<\/p>\n<p>En apparence compliqu\u00e9e, cette configuration pr\u00e9sente un certain nombre d\u2019avantages. Pour commencer, l\u2019activateur n\u2019a rien de particuli\u00e8rement suspect\u00a0: toute application Internet demande des enregistrements DNS, c\u2019est ainsi que doit commencer toute session de communication. Deuxi\u00e8mement, les acteurs malveillants peuvent facilement mettre \u00e0 jour le script pour modifier le sch\u00e9ma de l\u2019infection et la charge utile finale en modifiant les enregistrements TXT du domaine. Et enfin, supprimer le contenu malveillant du Web n\u2019est pas une t\u00e2che facile, en raison de la nature distribu\u00e9e du syst\u00e8me des noms de domaine. Les fournisseurs d\u2019acc\u00e8s \u00e0 Internet ne peuvent d\u00e9tecter cette violation de leurs strat\u00e9gies facilement, \u00e9tant donn\u00e9 que chaque enregistrement TXT n\u2019embarque qu\u2019un fragment de code malveillant qui ne pr\u00e9sente aucune menace en soi.<\/p>\n<h2>Le boss final<\/h2>\n<p>Le script de t\u00e9l\u00e9chargement ex\u00e9cut\u00e9 p\u00e9riodiquement permet au pirate informatique de mettre \u00e0 jour la charge utile malveillante et d\u2019ex\u00e9cuter l\u2019action de son choix sur l\u2019ordinateur de la victime. Au moment de notre analyse, l\u2019int\u00e9r\u00eat des pirates informatiques se porte sur le vol de cryptomonnaies. La porte d\u00e9rob\u00e9e analyse automatiquement l\u2019ordinateur de la victime, recherchant les portefeuilles Exodus ou Bitcoin, et les rempla\u00e7ant par des versions contenant un cheval de Troie. Un portefeuille Exodus infect\u00e9 vole la phrase secr\u00e8te de l\u2019utilisateur et un portefeuille Bitcoin infect\u00e9 vole la cl\u00e9 de chiffrement utilis\u00e9e pour chiffrer les cl\u00e9s priv\u00e9es. Cette derni\u00e8re permet au pirate informatique de signer des transferts au nom de la victime. Ainsi, celui qui aura voulu \u00e9conomiser quelques dizaines d\u2019euros sur des applications pirat\u00e9es en perdra bien davantage en cryptomonnaies.<\/p>\n<h2>Prot\u00e9gez vos portefeuilles de cryptomonnaies des attaques<\/h2>\n<p>Ce n\u2019est pas nouveau, mais cela reste vrai\u00a0: pour vous tenir \u00e0 l\u2019\u00e9cart de cette menace et ne pas en \u00eatre un jour la victime, ne t\u00e9l\u00e9chargez vos applications que depuis des sites marchands officiels. Avant de t\u00e9l\u00e9charger une application depuis le site Internet d\u2019un d\u00e9veloppeur, assurez-vous qu\u2019il s\u2019agit du site et de l\u2019application authentiques et non d\u2019un <a href=\"https:\/\/www.kaspersky.fr\/blog\/how-to-spot-phishing-on-a-hacked-wordpress-website\/20926\/\" target=\"_blank\" rel=\"noopener\">site de phishing parmi d\u2019autres<\/a>.<\/p>\n<p>Si vous envisagez de t\u00e9l\u00e9charger une version pirat\u00e9e d\u2019une application, r\u00e9fl\u00e9chissez-y \u00e0 deux fois. Les sites pirates \u00ab\u00a0scrupuleux et dignes de confiance\u00a0\u00bb sont aussi rares que les lutins et les licornes.<\/p>\n<p>Quels que soient votre niveau de connaissances en informatique, votre prudence et votre souci du d\u00e9tail, assurez-vous que tous vos appareils sont enti\u00e8rement prot\u00e9g\u00e9s : t\u00e9l\u00e9phones, tablettes et ordinateurs. <a href=\"https:\/\/www.kaspersky.fr\/premium?icid=fr_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">Kaspersky Premium<\/a>\u00a0est une bonne solution multiplateforme. V\u00e9rifiez que toutes les <a href=\"https:\/\/www.kaspersky.fr\/blog\/kaspersky-home-products-2022\/19386\/\" target=\"_blank\" rel=\"noopener\">fonctionnalit\u00e9s de s\u00e9curit\u00e9 de base et avanc\u00e9es<\/a> sont activ\u00e9es. Enfin, nous invitons les propri\u00e9taires de cryptomonnaies \u00e0 lire nos instructions d\u00e9taill\u00e9es sur la protection des portefeuilles de cryptomonnaies, les <a href=\"https:\/\/www.kaspersky.fr\/blog\/4-key-steps-to-protect-cryptocurrency-properly\/20443\/\" target=\"_blank\" rel=\"noopener\">hot<\/a> comme les <a href=\"https:\/\/www.kaspersky.fr\/blog\/five-threats-hardware-crypto-wallets\/20486\/\" target=\"_blank\" rel=\"noopener\">cold<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"premium-geek\">\n","protected":false},"excerpt":{"rendered":"<p>En avoir pour son argent : des applications macOS pirat\u00e9es extraient un code malveillant depuis des enregistrements DNS pour voler des cryptomonnaies<\/p>\n","protected":false},"author":2749,"featured_media":21447,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[686],"tags":[488,87,3241,4122,3958,3735,599,204,719],"class_list":{"0":"post-21445","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-bitcoin","9":"tag-conseils","10":"tag-cryptomonnaie","11":"tag-cryptomonnaies","12":"tag-dns","13":"tag-exodus","14":"tag-macos","15":"tag-menaces","16":"tag-osx"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/21445\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27017\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/22330\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/11386\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/29687\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27185\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27012\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/29606\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/28510\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/36901\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/12027\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/50361\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/22210\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/30879\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/35746\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/27410\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/33202\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/fake-macos-activator-steals-bitcoin-exodus-uses-dns\/32826\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/macos\/","name":"MacOS"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/21445","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2749"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=21445"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/21445\/revisions"}],"predecessor-version":[{"id":21449,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/21445\/revisions\/21449"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/21447"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=21445"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=21445"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=21445"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}