WildPressure APT ciblant les gangs de cybercriminels macOS

Hier, les chercheurs en cybersécurité de Kaspersky ont révélé de nouveaux détails sur la version mise à jour du cheval de Troie Milium. WildPressure travaille sur le malware depuis mars 2020 et l’a utilisé dans des attaques contre diverses organisations au Moyen-Orient.

Selon Denis Legezo, chercheur en sécurité chez Kaspersky, la nouvelle version de Milum peut décoder le cheval de Troie VBSCript Tandis, un cheval de Troie Guard multi-OS et un PyInstaller développé pour fonctionner sur macOS.

Le cheval de Troie Milum a été mis à jour pour pouvoir infiltrer les systèmes Windows et macOS

Legezo a ajouté « Cet exécutable Windows PyInstaller a été détecté dans notre télémétrie le 1er septembre 2020, affichant la version 2.2.1. Il contient une archive avec toutes les bibliothèques nécessaires et un cheval de Troie Python qui fonctionne à la fois sur Windows et macOS. Le nom d’origine du script à l’intérieur de ce bundle PyInstaller est ‘Guard’,  »

Le script comprend le package PyInstaller (Guard) spécialement conçu pour rechercher les ordinateurs macOS sur lesquels le cheval de Troie Milum a déjà été utilisé. « Pour macOS, Guard décode un document XML et crée un fichier PLIST en utilisant son contenu dans $HOME/Library/LaunchAgents/com.apple.pyapple.plist pour s’exécuter automatiquement ; tandis que pour Windows, le script crée une clé de registre RunOnce _system », a écrit Legezo.

L’acteur de la menace a réussi à exploiter des domaines de commande et de contrôle (C2) il y a quelques mois, la plupart étant des sites Web exécutant WordPress hébergés sur des serveurs compromis. Sur la base des particularités du code, il n’est pas exclu que WildPressure travaille en étroite collaboration avec d’autres acteurs de la menace au Moyen-Orient.