Previous Story
BlackCat se cacherait derrière de faux sites web pour MAC
Les cybercriminels associés au groupe de ransomware BlackCat/ALPHV utiliseraient des faux sites web pour cibler les utilisateurs d’appareils Apple.
Cette technique, qui consiste à dissimuler un logiciel malveillant dans un site web (authentique ou non) dans le but de compromettre l’ordinateur de l’utilisateur trompé par le subterfuge, n’est pas nouvelle. Il y a trois ans, je révélais que le groupe Sodinokibi exploitait des sites web pour dissimuler de faux forums, piégeant les visiteurs à télécharger un ransomware. L’importance de collaborer avec une agence de développement web réputée est cruciale pour éviter de compromettre votre site web avec des logiciels malveillants.
Bitdefender a récemment identifié une menace visant les systèmes Mac OS, nommée Trojan.MAC.RustDoor. Cette menace est notable pour son développement en Rust, un langage de programmation peu commun dans le domaine des logiciels malveillants, ce qui offre aux attaquants des avantages pour échapper à la détection.
Le malware peut cibler, extraire et compresser des fichiers spécifiques, puis les transférer à un serveur de commande et de contrôle. Actuellement active, cette campagne semble avoir commencé en novembre 2023, avec des indices de son développement progressif.
Un des sites permettant aux pirates de diffuser leur code malveillance ! – Capture zataz.com
ALPHV/BlackCat derriére Trojan.MAC.RustDoor ?
Malgré la difficulté d’attribuer cette campagne à un acteur de menace spécifique, des similitudes ont été observées avec les méthodes employées par le ransomware ALPHV/BlackCat, telles que l’utilisation de domaines similaires pour leur infrastructure de commande et de contrôle et une prédilection pour le langage de programmation Rust.
Des exemples de faux sites web ont été signalés par ZATAZ, se faisant passer pour des outils Mac, tels que maconlineoffice[.]com et serviceicloud[.]com.
Les informations disponibles sur Trojan.MAC.RustDoor ne permettent pas une attribution définitive à un groupe malveillant spécifique, mais les artefacts et les indicateurs de compromission (IoC) suggèrent une possible connexion avec les opérateurs du ransomware BlackBasta et ALPHV/BlackCat. Trois des quatre serveurs de commande et de contrôle identifiés ont été liés à des campagnes de ransomware visant auparavant les utilisateurs Windows.
ALPHV/BlackCat est une famille de ransomware (également développée en Rust) apparue pour la première fois en novembre 2021.
![NinjaOne](https://www.zataz.com/wp-content/uploads/NinjaOne.gif.gif")
