Articles

Une nouvelle variante de backdoor pour Mac OS X utilisée dans des attaques APT

Selon l’étude réalisée par Costin Raiu, les attaques APT détectées consistent en l’envoi d’e-mails ciblant des activistes ouïghours et comportant en pièce jointe un fichier ZIP. Ce fichier renferme une photo au format JPG mais aussi un logiciel malveillant de type « backdoor ». Il s’agit en fait d’une nouvelle version, encore essentiellement non détectée, du backdoor MaControl, qui s’attaque aussi bien aux Mac à processeurs i386 que PowerPC (les systèmes de Kaspersky Lab détectent celle-ci sous l’appellation « Backdoor.OSX.MaControl.b »). Lorsque l’application est lancée, le logiciel malveillant s’installe dans le système et se connecte à un serveur de commande et de contrôle pour recevoir ses instructions. Le backdoor permet à celui qui le pilote de consulter la liste des fichiers, d’en transférer et, plus généralement, d’exécuter des commandes sur la machine infectée.

Alors que les Mac sont de plus en plus utilisés, notamment par des cibles de renom, nous prévoyons une augmentation en conséquence du nombre des attaques APT sous Mac OS X. Les attaques précédentes exploitaient des failles de MS Office (Exploit.MSWord.CVE-2009-0563.a.). Celle décrite ici emploie des techniques de « social engineering » pour inciter l’utilisateur à exécuter le logiciel malveillant. Tout comme dans les malwares sur PC, la combinaison d’exploitation de vulnérabilités et de techniques de « social engineering » est généralement la plus efficace. Il ne serait donc pas surprenant d’assister prochainement à un pic de ce type d’attaques.

[Source : http://newsroom.kaspersky.eu/fr]

600.000 machines sous Mac OS infectées par le Malware Flashback

Plus de 600.000 Mac ont été infectés par le Trojan Flashback selon différents experts en sécurité dont 5000 pour la France.

Flashback fait parti d’une famille de logiciels malveillants apparu en Septembre 2011 et visant les systèmes d’exploitation Mac OS. Les premières versions se sont appuyées sur des astuces d’ingénierie sociale pour infecter les machines, mais les dernières variantes sont distribuées via des exploits Java qui ne nécessitent pas forcément une interaction avec l’utilisateur.

Il y a 3 jours, Apple a publié une mise à jour Java pour corriger une vulnérabilité critique qui est exploitée pour infecter les ordinateurs Mac avec le cheval de Troie Flashback.

Cependant, un grand nombre d’utilisateurs ont déjà été touchés par ces attaques selon un rapport de Dr Web. Plus de 300.000 des Mac infectés, soit 56% du total, sont situés aux États-Unis, tandis que plus de 100.000 se trouvent au Canada. Le Royaume-Uni et l’Australie complètent le quatuor de tête avec respectivement 68000 et 32000 machines infectées.

La contamination peut se faire lors d’une simple visite d’un site Web compromis. Son objectif principal est la récupération d’informations sur la navigation : login, mots de passe, requête web ou toutes autres informations saisies lors de la navigation…

Lors de son exécution, le malware va demander à l’utilisateur son mot de passe administrateur. Qu’il soit saisi ou non, le malware tentera d’infecter le système mais le fait d’avoir entré le mot de passe aura une incidence sur la façon dont l’infection se déroulera.

Lors de l’exécution, le logiciel malveillant vérifie si le chemin d’accès suivant existe dans le système:

/ Bibliothèque / Little Snitch
/ Developer / Applications / Xcode.app / Contents / MacOS / Xcode
/  Applications / VirusBarrier X6.app
/ Applications / iAntivirus / iAntiVirus.app
/  Applications / avast!. App
/ Applications / ClamXav.app
/  Applications / HTTPScoop.app
/ Applications / paquet Peeper.app

Si l’un de ceux-ci est trouvé, le malware arrêtera de s’exécuter et procédera à sa suppression.

Si l’infection est réussie, le logiciel malveillant va modifier le contenu de certaines pages Web affichées par les navigateurs Web, les pages Web spécifiques ciblés et les modifications apportées sont déterminés sur la base des informations de configuration récupérées par le logiciel malveillant à partir d’un serveur distant.

Pour vérifier si votre machine est saine, il suffit d’ouvrir un terminal et taper les 3 commandes suivantes :

  • defaults read /Applications/Safari.app/Contents/Info LSEnvironment
  • defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
  • defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Si vous n’êtes pas infecté, vous aurez le message suivant pour chacune des requêtes

The domain/default pair of (…) does not exist

Retrouvez  les conseils pour la détection du Trojan [ici] et la méthode de nettoyage de la machine [ici]

Une application corrompue disponible sur l’Apple Store

Charlie Miller, chercheur en sécurité, a trouvé une faille sur les iPhones/iPads qui permet de créer des applications qui installent  furtivement des programmes visant à voler, détruire ou envoyer des données personnelles.

Pour démontrer sa découverte, Charlie Miller a développé une application corrompue et a réussi à la mettre à disposition sur l’Apple Sotre malgré les contrôles effectués sur chaque produit mis à disposition du public.

Son application était un outil de surveillance du marché boursier, InstaStock, qui se connecte à un serveur pour remonter les informations boursières et qui par la même occasion téléchargeait tout les programmes qu’il voulait.

Le plus étonnant est qu’il a contacté Apple afin qu’ils corrigent cette faille et qu’il s’est fait renvoyer de la communauté des développeurs pour non respect de la Charte. Cette dernière stipule que les développeurs ne doivent pas occulter des fonctionnalités malveillantes dans leurs applications.

Il est important de rappeler que Charles Miller a rapporté à Apple une dizaine de failles en tout genre afin de faire avancer sa sécurité, drôle de remerciement…

Un Trojan Mac basé sur un Trojan Linux

Des auteurs de logiciels malveillants ont utilisé un ancien Cheval de Troie infectant les plateformes Linux afin d’en mettre au point un nouveau utilisable sur Mac OS X.

Le Trojan Tsunami est donc basé sur Kaiten, qui utilisait un canal IRC afin de transmettre des informations. Les chercheurs en sécurité sont encore dans le processus d’analyse de la nouvelle menace mais il est fort probable qu’il s’agit d’un outil d’attaque de type DoS.

Il ne faut pas oublier que même si les logiciels malveillants sont nombreux sur Windows, cela ne signifie pas que le problème est inexistant sur Mac. Du fait d’entendre encore des utilisateurs « il n’y a pas de virus sur Mac », les cybercriminels pourraient profiter de cette brèche pour accentuer leur impact.

Nouvelle méthode d’espionnage via iPhone

Une équipe de chercheurs de l’Institue of Technology de Georgie affirme avoir découvert une nouvelle utilisation d’un Keylogger sur un iPhone compromis. L’attaque repose sur l’exploitation de l’accéléromètre de l’appareil, c’est ce qui permet de détecter l’orientation du téléphone (utilisé notamment dans certains  jeux et plus généralement pour l’orientation des textes).

Les expériences ont conclues à un taux de réussite de 80% avec un iPhone 4. Le principe est le suivant, par les vibrations produites par les frappes sur le clavier sont analysées. Le logiciel espion reconstitue la position des touches tapées. Par des algorithmes complexes et un dictionnaire, il recompose les mots. L’intervention humaine ainsi que la connaissance du contexte est nécessaire pour obtenir un résultat cohérent.

Bien que la technique n’est pas au point et très difficile à analyser, le principe reste innovant et ouvre une nouvelle voie de réflexion à l’espionnage. Il ne faut tout de même pas s’inquiéter, la mise en place de cette technique n’est pas pour demain. Surtout que l’iPhone doit être placé à moins de 10 cm du clavier…

Mac OS X : de plus en plus vulnérable ?

Les dernières semaines n’ont pas été les meilleurs pour la réputation d’invulnérabilité de Mac.

F-Secure a mis en évidence l’existence d’un Trojan visant les systèmes Mac. Une Backdoor est déployée pendant qu’un PDF est ouvert afin de détourner l’attention de l’utilisateur final.

L’éditeur de logiciel de sécurité pour Mac, Intego, a lui trouvé un Cheval de Troie se prétendant être un installateur d’Adobe Flash Player, bien que Mac OS X Lion n’intègre pas de Flash Player.La faute provient des paramètres par défaut de Mac OS X, Safari considère que les packages d’installation sont sûrs (extensions.phg ou .mpky) et les exécutent aussitôt le téléchargement terminé. Si le Cheval de Troie réussi à s’installer, il va alors tenter de fermer certaines applications de sécurité, supprimer son package d’installation et injecter le code malveillant dans le système.

Le chercheur en sécurité Patrick Dunstan a, pour sa part, expliqué comment les mots de passe Mac OS X peuvent-être modifiés sans  effort. Ceci est rendu possible par le fait qu’un utilisateur sans privilège « root » puisse extraire les données directement à partir des services d’annuaire. Ces services ne nécessitent pas l’authentification des utilisateurs lors de l’exécution d’un changement de mot de passe.

On ne peut pas réellement penser que Mac OS X a beaucoup plus de failles qu’auparavant, seulement, on s’aperçoit qu’il y a un accroissement de l’intérêt d’étudier la sécurité de Mac OS et ses vulnérabilités. Aussi bien de la part des chercheurs que des hackers.

A l’avenir, il sera sans doute plus commun de trouver un logiciel Anti-Virus installé sur les systèmes Apple.