loading...

Information clés sur les Menaces Mac

Combien y a-t-il de logiciels malveillants ciblant les Mac ?

Le nombre de menaces spécifiques Mac est négligeable vis-à-vis des autres plateformes (Windows). Néanmoins, ce nombre est en constante augmentation. Aujourd’hui un logiciel malveillant bien construit et bien ciblé peut causer de nombreux dommages sur un Mac non protégé.

Mon Mac a-t-il besoin d’un antivirus ?

Aucun système d’exploitation n’est sûr à 100%. Même si cela été le cas, les failles dans les applications comme Java/Java machine virtuel peuvent être exploitées par les menaces. Un antivirus performant ajoute des couches de protection supplémentaires réduisant ainsi l’exposition aux menaces.

Est-ce que le développement des menaces pour Mac est un phénomène récent ?

La première menace pour Mac OS X : OSX/Opener (Renepo) a été identifiée en 2004, la suivante en 2006 suivie par de nombreuses autres formes développées contre Mac OS X.

Est-ce que mon Mac est vulnérable aux attaques Windows ?

Les logiciels malveillants conçus pour Windows ne représentent pas un danger pour les Mac même si le Mac est le porteur. Cela signifie que vous pouvez transférer involontairement des fichiers infectés de votre Mac vers une autre plateforme.

Est-ce que les menaces représentent un danger pour les Mac ?

Depuis quelques années, le laboratoire de recherche ESET a détecté et identifié plus de 10 nouvelles familles de menaces spécialement conçues pour les plateformes Mac OS X. Par exemple, le trojan Flashback qui a infecté plusieurs centaines de milliers de Mac.

Tester gratuitement

30 jours d’évaluation

Les menaces Mac dans le temps

  • 2004

    • Opener (Renepo)

    • Amphimix (MP3Concept)

  • 2005

  • 2006

    • Leap

    • Inqtana

  • 2007

    • Jahlav (RSPlug)

  • 2008

    • MacSweep

    • iMunizator

  • 2009

    • Tored

  • 2010

    • Hovdy

    • HellRTS (HellRaiser)

    • OpinionSpy

    • Boonana

  • 2011

    • BlackHole (darkComet, MusMinim)

    • MacDefender

    • Olyx

    • Flashback

    • Revir and Imuler

    • Devilrobber (Miner)

    • Tsunami (Kaiten)

  • 2012

    • Sabpab

    • Morcut (Crisis)

    • Lamadai

  • 2013

    • Kitm and Hackback

    • Yontoo

    • Minesteal a.k.a. Minesweep

Opener (Renepo)

Un script en Shell comprenant une backdoor et des fonctionnalités de logiciels espions.

L’installation de ce script en shell (bash) nécessitait l’accès à un compte administrateur ou l’accès physique à la machine ainsi que les droits d’accès du système. Une fois installé, le logiciel est conçu pour se lancer automatiquement au démarrage sur le compte administrateur sans même avoir besoin de Sudo (un utilitaire, le plus souvent utilisé sur les systèmes d’exploitation utilisant un dérivé d’Unix et permettant de lancer des programmes avec tous les droits).

Avec la version 2.3.8, l’installation comprenait une grande variété de backdoors et de fonctionnalités « espionnes » permettant de voler toutes sortes d’informations sur les configurations/applications et d’obtenir entres autres des identifiants et mots de passe.

L’auteur, DimBulb a notamment été cité comme inspiration de l’auteur du rootkit osxrk datant de septembre 2004.

########################################################################
# opener 2.3.5a - a startup script to turn on services and gather user info & hashes for Mac OS X
########################################################################
# Originally written by DimBulb
# Additional code: hard-mac, JawnDoh!, Dr_Springfield, g@pple
# Additional ideas and advice: Zo, BSDOSX
# This script runs in bash (as is noted by the very first line of this script)
# To install this script you need admin access or
# physical access (boot from a CD or firewire/usb, ignore permissions on the internal drive) or
# write access to either /Library/StartupItems /System/Library/StartupItems or
# write access to any existing StartupItem (which you can then replace with this script) or
# write access to the rc, crontab, or periodic files (and have them run or install the script) or
# you could trick someone who has an admin account into installing it.
# It should go in /System/Library/StartupItems or /Library/StartupItems (when it is executed it
# will move itself to /System/Library/StartupItems)
# Since it is a StartupItem it will run as root - thus no "sudo" commands are needed. If you run
# it as any other user most of the commands will generate errors! (You could sudo ./opener)
# Save start time and date for performance testing

Amphimix (MP3Concept)

Le premier logiciel malveillant pour Mac OSX (jamais détecté in-the-wild)

Ce virus a été développé en tant que POC (Proof of concept ou Preuve de concept), dans le but de montrer la faisabilité de l’idée. Ce cheval de Troie pour Mac développé en 2004 se faisait passé pour un MP3 via l’utilisation de l’icône de ce format. Sa réputation vient principalement de sa date de sortie – il est considéré comme le premier logiciel malveillant pour OS X – plus que de son impact : il n’a pas été vu « in the wild », et les changements ultérieurs du Finder de Mac ont totalement comblés les vulnérabilités qu’il aurait pu exploiter.

Une fois lancé, il ouvrait une boîte de dialogue disant en anglais “Ouais, c'est bien une application. Qu’est-ce que vous écoutez sur Itunes?” Au même moment, le logiciel malveillant lançait iTunes et par la même occasion un clip audio MP3 « Fou Rire » (un homme riant).

Amphimix

Leap

Le premier vers pour OS X

Apparu début 2006, ce logiciel malveillant a fait couler beaucoup d’encre. Avec son icône d’image JPG, cet exécutable Unix se faisait passer pour les premières images exclusives du nouveau Mac Leopard OS X 10.5. Il se transmettait via le client de messagerie iChat sous le nom de latespics.tgz.

Le logiciel malveillant nécessitait l’interaction des utilisateurs pour se propager et utilisait Spotlight pour infecter tous les fichiers trouvés sur le disque.

Inqtana

Un vers POC (Proof Of Concept) exploitant une vulnérabilité du Bluetooth

Ce vers était donc un POC visant les systèmes OS X. Ecris en Java, il s’est propagé à travers une vulnérabilité Directory Traversal du système de Bluetooth d’Apple. Cette faille a été corrigée ultérieurement par le fabricant (2005-2006).

Le logiciel modifiait le launchd afin d’être sûr que le code soit automatiquement exécuté dès le démarrage pour le rendre persistant (même si, il continuait de se charger à chaque redémarrage du système).

Il continuait de se propager en envoyant une requête Push OBEX aux autres appareils Bluetooth. Son impact a été limité par l’utilisation d’une librairie temporaire bloquant ainsi sa propagation dès le 24 Février 2006. Inqtana.D a marqué un profond changement du fait qu’il ne nécessitait aucune interaction de l’utilisateur pour s’installer, et ouvrait une fois installé, différentes backdoors accessibles depuis les ports Ethernet et Airport, et non plus uniquement le Bluetooth.

Jahlav (RSPlug)

DNS Changer

Cette famille de logiciels malveillants modifiant les DNS comprends différents codes binaires identifiés sous les noms OSX/Jahlav, OSX/DNSchanger, OSX/Puper, OSX/RSPlug (ainsi que d’autres variations différemment nommées selon les éditeurs de sécurité). Certains éditeurs considèrent même qu’il s’agit de différentes familles de codes, tout en restant originaires du même auteur.

Ce groupe est très étroitement lié à la famille des Ziob de par la similitude de ses fonctionnalités malicieuses sur Windows. Ce type de logiciels malveillants a été détecté de très nombreuses fois In-The-Wild. Il est souvent détecté en tant que fichier DMG contenant un package d’installation nommé install.pkg.

Il a été distribué via différents canaux en se faisant par exemple passé pour un codec, un stratagème souvent utilisé par les logiciels malveillants sur d’autres plateformes. Le but ultime de ce malware est de modifier les paramètres DNS de l’hôte infecté, permettant à l'attaquant de modifier le contenu du web sur le système infecté. Un script nommé « pré-installation », s’exécute dès le début du processus d'installation et effectue ces différentes actions sur les DNS. Un ensemble de commandes en shell sont alors lancées afin d’écrire le script sur le disque et de l'exécuter. OSX/Jahlav est également très intéressant du fait que cette menace utilise une technique de polymorphisme du côté du serveur pour générer de nouvelles copies de ses fichiers binaires dans le but d'échapper à la détection des systèmes de détection des intrusions et des antivirus. Les fichiers de script sont également obscurcis via différents outils du shell, tels que uuencode, sed, ou tail to conceal, vary or reverse the order of the commands and hamper analysis.

ESET - Descriptions des menaces:

Articles correspondants:

MacSweep

Le premier scareware pour OSX

Egalement connu sous le nom de Troj/MacSwp-A ou OSX_MACSWEEP, MacSweeper a été pour la première fois découvert en Janvier 2008 et est quelquefois décrit comme la première menace de type Rogue (Scareware en anglais). Ce type de menace consiste à faire passer le logiciel malveillant pour un logiciel de sécurité afin de soutirer de l’argent de ses victimes.

La plupart des éléments descriptifs s’appliquant à OSX/MacSweep s’appliquent également à iMunizaton. Certains éditeurs de sécurité confondent même à la détéction iMunizator et OSX/MacSweep.B. Certaines sources ont également identifié un écran quasi-identiques sur les deux logiciels malveillants utilisant tous deux l’accroche “Débarrassez-vous des fichiers compromettant dès maintenant” et s’autoproclamant « Produit 3-en-1, Nettoyant internet, systèmes et optimisant les performances de votre Mac ». Le logiciel indique à l’utilisateur qu’un certains nombres de ses application, pourtant légitimes, sont infectées et compromettent l’ordinateur. Si l’utilisateur essaye de les supprimer, une boite de dialogue les en empêche et lui demande d’abord de payer le logiciel MacSweep.

iMunizator

Scareware

Aussi connu sous les noms: OSX/lmunisator, Troj/MacSwp-B, OSX.MACSWEEP.B ou OSX/AngeloScan, cette menace a pour la première fois été détectée en Mars 2008. iMunizator est essentiellement considéré comme une variante d’OSX/MacSweep (MacSweeper).

Le bouton de téléchargement stipulait une fois de plus « Débarrassez-vous des fichiers compromettant dès maintenant » et s’autoproclamait « Produit 3-en-1, Nettoyant internet, systèmes et optimisant les performances de votre Mac ». Qui ne souhaiterait pas télécharger une application nettoyant internet?

Le logiciel fait semblant de détecter des applications, pourtant fiables, et les marques comme indésirables. Toute victime assez naïve pour vouloir les supprimer se voit demandé d’acheter la version payante du logiciel. Ironiquement, iMunizator vous avertis alors que ces applications détectées peuvent compromettre votre carte de crédit.

iMunizator

Tored

Un vers POC se propageant par email

Ce logiciel malveillant POC a été découvert en 2009 sous le nom de Mac/Tored.AA. Ce nom est une modification du nom original trouvé dans le fichier binaire, OSX.Raedbot. Ce vers était capable de se propager par email grâce à son propre moteur SMTP.

Il pouvait également contacter un serveur de commande et de contrôle sur internet pour obtenir de nouvelles commandes. Fonctionnellement, il ressemble donc étroitement à certains massmailers classiques de Windows ainsi qu’à de nombreux robots. Cependant, aucune variante de Mac/Tored.AA n’a été détectée « in the wild ».

Hovdy

Un logiciel espion de collecte d'informations

La famille des logiciels malveillants OSX/Hovdy comprend un ensemble de scripts destinés à recueillir autant d'informations que possible sur son hôte et de les renvoyer au hacker.

Dans certaines de ses variantes, l'information est renvoyée dans un e-mail avec le sujet Howdy, ce qui explique son nom. Certaines variantes ont été programmées comme un script bash alors que d'autres variantes sont programmées à l'aide d'AppleScript. Nous avons pu détecter plus d’une douzaine de variantes du script OSX/Hovdy.

HellRTS (HellRaiser)

Cheval de Troie avec Backdoors de collecte d’informations ayant des fonctionnalités de prise de contrôle à distance

Ce cheval de Troie avec Backdoors peut être contrôlé à distance. Il essaye d’envoyer les informations volées (fichiers et captures d’écran) sur une machine distante aussi bien via les protocoles HTTP que FTP ou SMTP.

Dans le but d’obtenir des informations confidentielles, le logiciel malveillant affiche la boite de dialogue suivante:

iMunizator

Le cheval de Troie acquiert les données et commandes depuis un ordinateur distant ou depuis internet. Il peut aussi :

  • Exécuter des fichiers
  • Exécuter des commandes en shell
  • Eteindre/redémarrer l’ordinateur
  • Déconnecter l’utilisateur
  • Envoyer des données à l’imprimante
  • Ouvrir une adresse URL
  • Changer le volume sonore de l’ordinateur
  • Ouvrir le lecteur CD/DVD
  • Ouvrir un fichier média
  • Ouvrir une page web via le navigateur par défaut de l’utilisateur
  • Voir l’écran de l’utilisateur

ESET - Description de menaces:

OpinionSpy

Logiciel espion avec backdoor et fonctionnalités de prise de contrôle à distance

Ce logiciel a été pour la première fois signalé au début du mois de Juin 2010. Pour se camoufler il a été intégré avec le logiciel « PermissionResearch » ou « PremierOpinion ».

Ce logiciel espion a donc été distribué en tant qu’utilitaire d’études de marché souvent offert durant l’installation de divers écrans de veille. Il servait également de backdoor et permettait donc au pirate de contrôler l’ordinateur à distance.

OpinionSpy

ESET - Description de menaces:

Articles correspondants:

Boonana

Cheval de Troie multiplateforme utilisant des techniques d’ingénierie sociale

Ce cheval de Troie codé en Java, attaque les systèmes Mac, Linux et Windows. Il est devenu connu en Octobre 2010 grâce à une stratégie de propagation utilisant différents sites de réseaux sociaux. Déguisé sous forme de vidéo, l’utilisateur recevait un message utilisant la désormais célèbre accroche “Is this you in this video?" (Est-ce vous dans cette vidéo ?), une astuce rappelant de nombreux logiciels malveillants présents sur Windows.

La description conseille de télécharger le trojan (une applet Java) qui exécute alors un installeur qui modifie certains fichiers systèmes de manière à pouvoir accéder au système à distance sans qu’aucun mot de passé ne soit demandé. De plus, le cheval de Troie communique périodiquement avec un serveur C&C (le fonctionnement habituel d’un botnet). Certains utilisateurs ont également signalés avoir reçu ce trojan par email.

Dès que la victime potentielle lance la « vidéo », un message s’affiche, lui demandant d’installer un logiciel spécial pour pouvoir la lire.

Boonana

Si l’astuce fonctionne, l’applet Java s’exécute sur Windows, OS X et même sur Linux. Sur les systèmes Windows une simple clé de registre est ajoutée. Sur OS X, les fichiers sont copiés sur /Librairie/Startupltems et un script nommé OSX updates est créé.

Ce logiciel malveillant est basé sur une technique d’ingénierie sociale: l’attaque initiale cible l’utilisateur et non la plateforme. De plus, l’attaque ne s’exécute pas automatiquement. Autrement dit, pour s’installer, le logiciel malveillant nécessite le consentement de l’utilisateur. Bien que la finalité du logiciel ne soit pas sans rappeler celle de Koobface, le code n’y ressemble pas. C’est la raison pour laquelle ESET n’a pas utilisé le même nom pour les identifier, contrairement à certains éditeurs de sécurité.

Boonana

Articles correspondants:

BlackHole (darkComet, MusMinim)

Cheval de Troie multifonction avec Backdoors

Cet outil de contrôle à distance a été découvert au début de l’année 2011. Il était alors décrit comme une version beta par son auteur.

"Welcome to BlackHole RAT. Now this is the Beta Version, and there are funktions. Have Fun;)"
(Bienvenue sur BlackHole RAT. Il s’agit d’une version Beta, et il y a des fonctionnalités. Amusez-vous bien;)

BlackHole

L’interface utilisateur comprend également quelques mots en Allemand comme Ablage et Bearbeiten au milieu d’un message (plus ou moins) en anglais.

".../ am a Trojan Horse, so i have infected your Mac Computer. I know, most people think Macs can't be infected, but look, you ARE Infected!"
(Je suis un cheval de Troie et j’ai infecté votre Mac. Je sais, la plupart des gens pensent que les macs ne peuvent être infectés, mais regarde, tu ES infecté!)

BlackHole

Selon les commentaires présents dans le code, l’auteur du logiciel malveillant souhaitait sortir une version plus stable en temps opportun.

So, lm a very new Virus, under Development, so there will be much more fonctions when im finished.
(Donc, Je suis un nouveau Virus, en Développement, donc il y aura beaucoup plus de fonctionnalités quand je l’aurais fini.)

Pourtant dès Juin 2012, le projet darkComet RAT a été interrompu.

BlackHole pouvait entre autre:

  • Exécuter à distance des commandes en shell.
  • Faire atterrir le navigateur de l’utilisateur sur la page de son choix.
  • Créer un fichier texte sur le bureau.
  • Eteindre, redémarrer ou mettre en veille l’ordinateur: plus précisément, le logiciel pouvait ouvrir une fenêtre que l’utilisateur ne pouvait fermer qu’en laissant la machine se redémarrer.
  • Ouvrir un faux message du Finder demandant à la victime d’entrer son mot de passe administrateur.

Malgré la similitude de leurs noms, aucun lien n’a été établi entre Blackhole et l’exploit kit BlackHole..

ESET - Description de menaces:

MacDefender

Le premier grand logiciel espion sur mac

Ce faux antivirus a aussi été répertorié sous les noms: MacProtector, MacDetector, MacSecurity, Apple Security Center, MacGuard, et MacShield. Apparu en mai 2011, il s’agit très probablement du rogue le plus répandu sur Mac jusqu’à aujourd’hui.

L'infection a été propagée au travers de résultats empoisonnés sur les recherches d’images des moteurs de recherche. Quand un lien infecté était affiché par l’utilisateur, celui-ci recevait alors une alerte stipulant qu’un trojan ainsi que d’autres menaces avaient été détectées sur le système.

MacDefender

Pour commencer, une boîte de dialogue apparaît dans le navigateur ou une fausse fenêtre du Finder est affichée. Le programme a évolué au fil du temps pour mieux tromper l’utilisateur et ainsi avoir une interface utilisateur ressemblant à une véritable application native d’OS X. Les variantes ultérieures ayant également été déployées étaient même capables d'installer le logiciel malveillant à travers une fausse fenêtre du Finder obligeant l'utilisateur à entrer ses identifiants d'administration. Même si la victime clique sur le bouton « annuler » ou « Supprimer » de la fenêtre du navigateur, le logiciel est capable de s’installer. MacDefender profite alors également de la configuration par défaut de Safari « Ouvrir automatiquement les fichiers fiables » pour télécharger et exécuter automatiquement son code malveillant.

MacDefender

Une fois le fichier installé et lancé, la victime a pour option de s’inscrire pour enregistrer sa copie ou de payer pour l’activer.

MacDefender

Articles correspondants:

Olyx

Une backdoor téléchargeant des logiciels malveillants

Olyx est une backdoor permettant de contrôler à distance la machine infectée et d’y envoyer données et instructions depuis internet ou depuis un serveur botnet C&C (Commande et contrôle).

Il peut utiliser une faille Java pour accéder au système de la victime. Le trojan contient dans son code une adresse IP sur laquelle il essaye de se connecter via le port TCP 80.

Olyx

Il permet d’effectuer les opérations suivantes:

  • télécharger des fichiers d’un ordinateur distant et/ou d’internet
  • envoyer des fichiers vers un ordinateur distant
  • différentes opérations sur les fichiers systèmes
  • exécuter des commandes en shell
  • envoyer une liste de fichier spécifique à un disque sur un ordinateur distant

ESET - Description de menaces:

Flashback

Le Botnet Mac le plus répandu jusqu’à aujourd’hui

OSX/Flashback.A est un cheval de Troie tentant de télécharger d’autres logiciels malveillants sur internet. Flashback est jusqu’à aujourd’hui le Botnet le plus répandu sur les systèmes Mac. Flashback utilise l’ingénierie sociale pour entraîner l’utilisateur à télécharger et installer de lui-même le logiciel malveillant.

Flashback dispose d’un écran d’installation standard et professionnel créant cependant à l’insu de l’utilisateur une backdoor dans la librairie dynamique appelé Preferences.dylib. Une fois installé, le logiciel malveillant communique avec un serveur distant en chiffrant la communication en RC4 de manière à transmettre les données de l’utilisateur comme entres autres l’adresse MAC, la version de son OS, l’UUID. Flashback pouvait également être utilisé par l’auteur pour injecter du code directement au sein du système infecté.

OSX/Flashback et ses variantes comprennent également un code d’exploitation du CVE-2012-0507, une faille de Java également utilisé dans l’exploit kit Blackhole. Cela signifie que le trojan est alors en mesure d’infecter les ordinateurs sans aucune interaction de l’utilisateur. Oracle et plus tard Apple, ont tous deux sorti une mise à jour de Java pour régler ce problème.
Le logiciel malveillant recueille des informations sur l'ordinateur infecté comme son système d'exploitation ou les paramètres du système et tente de les envoyer à un ordinateur distant. Il reçoit les données et les instructions d'un serveur de commandes et de contrôle via le protocole HTTP. Si Little Snitch est détecté sur le mac, le logiciel s’arrête immédiatement du système et s’efface de l'ordinateur.
ESET recommande de désactiver Java dans Safari et Mac OS X, s’il n’est pas utilisé régulièrement.

Le cheval de Troie affiche l'image suivante:

Flashback

En Septembre 2012, ESET a publié une analyse technique complète de cette menace.

ESET - Description de menaces:

Articles correspondants :

Revir and Imuler

Dropper/downloader avec backdoor et fonctionnalités de logiciels espions

Ces deux exemples de logiciels malveillants sont généralement répertoriés de manières distinctes. Ils sont pourtant complémentaires, lorsque Revir joue le rôle du Dropper et du downloader, lmuler.A en profite pour intégrer sa porte dérobée.

L’application malveillante se camoufle en un PDF incorporé au milieu de son code. Ce code affiche alors un texte en chinois sur un sujet politique de controverse dans le but de faire diversion pendant que l'application extrait un donwloader qui récupère et installe le cheval de Troie (Imuler). La backdoor permet alors de communiquer avec un serveur C&C (Commande et Contrôle).

La similitude la plus frappante entre ce dernier et les techniques utilisées par les logiciels malveillants destinés à Windows réside dans l'utilisation d'un processus d'infection progressif utilisant plusieurs composants. Le PDF n'est pas piégé par une menace 0-day comme c'est souvent le cas avec des logiciels malveillants ciblés, mais est simplement un composant du malware qui doit être exécuté avant affichage du PDF. Le cheval de Troie Imuler peut ainsi recevoir des données et commandes d'un ordinateur distant grâce à l'URL présente de son code ou simplement en utilisant internet via le protocole HTTP.

Ces logiciels malveillants peuvent:

  • prendre des captures d’écran
  • envoyer des fichiers à un ordinateur distant
  • envoyer différentes informations sur l’ordinateur infecté
  • télécharger des fichiers depuis un ordinateur distant ou depuis internet
  • lancer des fichiers exécutables
  • extraire des archives ZIP

ESET - Description de menaces:

Articles correspondants :

Devilrobber (Miner)

Logiciel espion générateur de Bitcoin utilisant les Torrents pour se propager

Le programme a été répandu en l’ajoutant à des copies illégales du logiciel GraphicConverter (un logiciel fiable). Pour se faire, les copies infectées ont été distribués via des sites de torrent tels que PirateBay. Comme un certain nombre de chevaux de Troie pour Mac, le programme s’éteint automatiquement si Little Snitch est détecté. Autrement, l’application sera automatiquement lancée à chaque redémarrage.

DevilRobber peut:

  • Ouvrir les ports et communiquer avec le serveur C&C
  • Utiliser les cycles du processeur graphique (GPU) de manière à générer des Bitcoins et à trouver tout portefeuille de Bitcoins pour le voler.
  • Agir comme un logiciel espion et ainsi envoyer identifiants et mots de passe sur un serveur distant.
  • Chercher les fichiers de stockage des mots de passe, l’historique des scripts, l’historique de navigation, prendre et envoyer des captures d’écran
  • Se servir de la machine infectée pour trouver différents contenus illégaux (maltraitance des enfants etc…)

ESET - Description de menaces:

Tsunami (Kaiten)

Une backdoor contrôlée sur IRC

Il s'agit d'une backdoor contrôlée via IRC qui permet au hacker de transformer la machine infectée en un bot destiné aux attaques par déni de service (DDoS). Il contient une liste codée de serveurs IRC et de différents channels auxquels il essaye de se connecter.

Le logiciel malveillant est une variante de son ainé Linux/Tsunami (également connu sous le nom de Kaiten), recompilé en Mach-0 binaire afin de pouvoir s’exécuter sur OS X. Ne représentant que de faibles risques, une deuxième version présente quelques «améliorations ».

De 2002, ce cheval de Troie pour Linux était destiné à recevoir ses instructions directement depuis IRC. Les commandes reçues sont principalement destinées aux attaques DDoS (par déni de service) mais peuvent également permettre d’exécuter diverses autres attaques grâce aux commandes en Shell. C’est directement dans un bloc de commentaires du code source de Linux C que la liste des commandes acceptées est prise.

Tsunami

En plus de permettre de mettre de place des attaques DDoS, la backdoor peut permettre à un utilisateur distant de télécharger des fichiers, des logiciels malveillants ou simplement de mettre à jour le code de Tsunami. Le trojan peut également exécuter des commandes en Shell afin de prendre le contrôle de la machine.

ESET - Description de menaces :

Articles correspondants :

Sabpab

Cheval de Troie à backdoor avec différentes fonctionnalités de contrôle à distance

Le trojan fonctionne en tant que Backdoor. Il permet de contrôler à distance l’ordinateur infecté et de recevoir données et commandes d’un ordinateur distants ou d’internet via le protocole HTTP dans le but de contacter une URL présente dans son propre code. Ce logiciel malveillant, tout comme sa très réputée variante, Flashback, exploite la vulnérabilité CVE-2012-0507.

Le trojan peut:

  • envoyer une liste de fichiers spécifiques à un disque sur un ordinateur distant
  • télécharger des fichiers depuis un ordinateur distant ou depuis internet
  • envoyer des fichiers
  • lancer des fichiers exécutables
  • prendre des captures d’écran

Le logiciel malveillant semble avoir été créé le 16 mars 2012 ou un peu plus tôt. Certains rapports semblent indiquer un lien entre SabPab (ou SabPub selon les éditeurs de sécurité) et les attaques APT nommées Luckycat. Il pourrait même y avoir un lien avec les attaques menées par les activistes Tibétains. Les dernières attaques recensées ont utilisé la faille CVE-2009-0563 de Microsoft Office grâce à des documents Word. Ainsi, les dernières variantes de SabPab n’utilisent plus la faille CVE-2012-0507 de Java. Par conséquent, les dernières mises à jour d’Apple ne permettent pas de se protéger contre ce logiciel malveillant.

ESET - Description de menaces:

Morcut (Crisis)

Cheval de Troie espion multiplateforme

Morcut est un trojan spécialement conçu pour OS X Snow Leopard et Lion (certains rapports stipulent qu’il peut s’exécuter sur Leopard mais qu’il tend à y bugger). Il s’installe sans interaction de l’utilisateur et est persistent même après un redémarrage. Par ailleurs, il fonctionne également comme un rootkit qui s’active si le système infecté est ouvert sur le compte administrateur.

Il n’a cependant jusqu’à ce jour jamais été découvert in-the-wild: les échantillons initiaux ont été découvert sur VirusTotal. Le fichier JAR infecté contenait lui-même un fichier Java dont le nom prête à confusion : WebEnhancer. Ce fichier avait pour but de vérifier si la machine virtuelle Java qui s’ouvrait, s’exécutait sur Windows ou sur OS X. Si la machine virtuelle Java (JVM) tournait sur Windows, Swizzor s’installait. Si la JVM tournait sur OS X, c’est OSX/Crisis qui s’installait.

Ce n’est pas la première fois que des hackers tentent de développer un virus qui fonctionne indépendamment du matériel de la cible. Cette nouvelle approche ne doit surtout pas être sous-estimée. Par ailleurs, les autres caractéristiques de ce Trojan s’avèrent très intéressantes. Il agit aussi bien comme un Trojan que comme un logiciel espion et est ainsi capable d’enregistrer tout un éventail d’activités. Il est capable de voler des données très sensibles comme entres autres les opérations sur les messageries instantanées, la géolocalisation, toutes les frappes effectuées sur le clavier et les mouvements et clics de la souris, le contenu du presse-papiers ou encore les processus en activité.

Articles correspondants :

Lamadai

Un Backdoor visant les ONG tibétaines

Lamadai est un logiciel malveillant spécialement conçu dans le but d’attaquer les ONG (organisation non-gouvernementale) Tibétaines. Pour se faire, les attaquants ont utilisés un leurre de manière à amener les victimes sur un site internet malicieux qui permettait alors via la faille de Java CVE-2011-3544 de propager la menace.

Le serveur Web servirait de dropper JAR (Java Archive) spécifique à la plateforme selon le navigateur de l’utilisateur (user agent string) pour infecter les systèmes OS X et Windows.

OSX/Lamadai.A intègre toutes les caractéristiques typiques d'une backdoor : à savoir le téléchargement et l'exécution d'un fichier arbitraire, le téléchargement de fichiers locaux vers le serveur de commande et de contrôle (C&C) ainsi que l’exécution de commandes en Shell. Malgré qu’il s’agisse d’une attaque multiplateforme exploitant la vulnérabilité Java (CVE-2011-3544) pour infecter ses victimes, c’est pour les systèmes OS X que les fonctionnalités les plus lourdes de conséquences ont été conçues.

Ainsi, le dropper spécifique à OS X a également été distribué sur les clients Linux. Cependant comme il a d’abord été conçu pour être le plus dévastateur sur OS X, les clients Linux ne seront en fait pas infectés. Les fichiers exécutables sur OS X utilisent le format Mach-0. Logiquement donc, OSX/Lamadai.A, a été conçu en Mach-0, mais n’a pourtant été compilé qu’en 64 bits. Pourtant, habituellement les binaires en Mach-0 contiennent à la fois les versions 32 bits et 64 bits directement dans l’exécutable.

ESET - Description de menaces:

Articles correspondants :

Kitm and Hackback

Une famille de logiciels malveillants, ayant des capacités d'espionnage, liées à l’Opération Hangover et à l'attaque contre un militant du Oslo Freedom Forum

OSX/Kitm est une backdoor qui peut être utilisée dans le but d’espionner sa victime. Il a la capacité de lancer d’autres exécutables envoyés par le hacker sur l’ordinateur infecté dans le but d’étendre son champ d’actions. Le cheval de Troie est également capable d’enregistrer des captures d’écran et de les envoyer à un ordinateur distant.

Kitm modifie le fichier /Users/%username%/Library/Preferences/com.apple.loginitems.plist pour s’assurer de son exécution après chaque redémarrage de la machine.

OSX/Hackback est un cheval de Troie avec des fonctionnalités similaires très probablement créé par le même auteur.

Cette famille de logiciels malveillants est étroitement liée avec l’opération Hangover et avec l’attaque d’espionnage ciblant un activiste du Oslo Freedom Forum.

ESET - Description de menaces:

Articles correspondants :

Yontoo

Un plug-in douteux pour navigateur affichant de la publicité, effectuant de l’injection de contenu et permettant de rediriger l’utilisateur

OSX/Adware.Yontoo est un bon exemple de graywares et d’applications potentiellement indésirables (PUA) permettant d’atteindre aussi bien OS X que Windows.

Sur OS X, le logiciel malveillant prend la forme d'un plug-in (extension) pour l'un des navigateurs les plus populaires: Safari, Chrome ou Firefox.

Le but du plug-in est d’afficher des publicités. Il a les traits caractéristiques d'un cheval de Troie avec la possibilité d'injecter du contenu dans les pages web affichées et de rediriger les utilisateurs vers des URL différentes.

Yontoo, comme c'est souvent le cas avec les graywares, a suscité beaucoup de spéculations. Si la société semble de prime abord être fiable, beaucoup de monde s’est rapidement posé la question de savoir si le but de cette extension était malicieux.

Apple a d’ailleurs par la suite publié une mise à jour de sa définition des logiciels malveillants XProtect pour protéger ses utilisateurs contre Yontoo (identifié en tant que "OSX.AdPlugin.i")

ESET - Description de menaces:

Articles correspondants :

Livres blancs correspondants :

Minesteal a.k.a. Minesweep

Un cheval de Troie multiplateforme écrit en Java et ciblant les joueurs en ligne

Java/Spy.Minesteal, ce trojan similaire à la famille notoire de Win32/PSW.OnlineGames sur Microsoft Windows, vise également, tout comme son homologue, les joueurs en ligne.

Son but est d’intercepter les identifiants de connexion du jeu Minecraft. Pour se propager, le cheval de Troie est camouflé sous forme d’outil de triche (Minecraft Hack kit) offrant aux joueurs des options supplémentaires au sein du jeu.

Écrit en Java, le trojan multiplateforme peut aussi bien infecter les systèmes OS X que Windows.

ESET - Description de menaces: