Les logiciels malveillants Mac sont de retour dans l’actualité. La semaine dernière, la société de sécurité F-Secure averti qu’il avait découvert un cheval de Troie conçu pour OS X déguisé en document PDF. Il n’est pas clair si ce malware est une menace actuelle – il a apparemment été créé plus tôt cette année – mais les mécanismes de son fonctionnement méritent d’être examinés de plus près car il remet en question une croyance largement répandue parmi les utilisateurs de Mac selon laquelle les logiciels malveillants ne peuvent pas être installés sans utilisateur explicite. autorisation.
Image reproduite avec l’aimable autorisation de F-Secure.
F-Secure a déclaré que le malware Mac, Trojan-Dropper : OSX/Revir.Atente peut-être de copier la technique mise en œuvre par les fenêtres malware, qui ouvre un fichier PDF contenant une extension « .pdf.exe » et une icône PDF associée. F-Secure a pris soin de noter que la charge utile installée par le dropper, Porte dérobée : OSX/Imuler.Ales téléphones hébergent une page d’espace réservé sur le Web qui ne semble pas capable de communiquer avec le cheval de Troie pour le moment.
Je voulais en savoir un peu plus sur la façon dont ce cheval de Troie fait son sale boulot, alors j’ai contacté Broderick Aquilino, le chercheur de F-Secure qui l’a analysé. Aquilino a dit que l’échantillon est une plaine Mach-O binaire – que nous appellerons « Binary 1 », qui contient un fichier PDF et un autre binaire Mach-O (Binary2). Mach-Oabréviation de Mach object, est un format de fichier pour les fichiers exécutables sous OS X.
Selon Aquilino, lorsque vous exécutez Binary1, il extrait le fichier PDF de son corps, le dépose dans le répertoire temporaire ou « tmp » du Mac, puis l’ouvre. Il s’agit simplement d’un leurre, car Binary1 continue d’extraire Binary2 de lui-même – également dans le répertoire « tmp » – puis exécute le fichier.
Lors de l’exécution, Binary2 télécharge un autre binaire à partir de [omitted malware download site] et l’enregistre sous /tmp/updtdata. Par souci de continuité, nous appellerons ce dernier fichier « Binary3 ». Binary2 exécute et télécharge ensuite le troisième binaire, qui ouvre une porte dérobée sur l’hôte OS X conçue pour permettre aux attaquants d’administrer la machine à distance.
« Tout cela se produit sans que l’utilisateur ait besoin de saisir son mot de passe », a déclaré Aquilino.
Aquilino pense que le cheval de Troie dépose ses fichiers dans le répertoire « tmp » car le malware n’est pas censé être permanent.
« Une autre raison pourrait être que le cheval de Troie évite aux utilisateurs qui s’exécutent sous un compte standard d’être authentifiés avec un compte administrateur juste pour pouvoir infecter le système », a-t-il déclaré. « Les comptes standard n’ont accès qu’à leur répertoire personnel et à ceux tels que /tmp. Cependant, le compte créé par la configuration d’OS X est un compte administrateur. Par conséquent, je pense que la plupart courront en dessous. Compte tenu de cette hypothèse, d’autres logiciels malveillants peuvent choisir de s’exécuter dans un répertoire tel que / Application, tout comme le cas du faux MacDefender. Notez cependant que, contrairement aux versions antérieures de Windows, les comptes administrateur sous OS X doivent toujours saisir leur mot de passe si un logiciel malveillant choisit de placer ses fichiers dans un répertoire système tel que /System/Library. Je ne vois pas la nécessité d’un logiciel malveillant pour faire cela.
Aquilino a déclaré que le malware a néanmoins le potentiel d’être très persistant.
« Lors de l’exécution, la copie téléchargée de la porte dérobée (/tmp/updtdata) créera une copie appelée /users/%user%/library/LaunchAgents/checkvir. Il créera également un point de lancement correspondant dans /users/%user%/library/LaunchAgents/checkvir.plist pour s’assurer qu’il fonctionne toujours après que l’utilisateur a redémarré le système. Prenez note de la casse dans « bibliothèque » au lieu de « bibliothèque ». C’est peut-être la raison pour laquelle l’échantillon n’a pas fonctionné sur certaines machines de test. Encore une fois, aucun mot de passe n’est nécessaire puisque la porte dérobée installe ses fichiers dans le répertoire personnel de l’utilisateur (% utilisateur%).
Aquilino a observé que la porte dérobée ne fonctionnera que lorsque le compte infecté se connectera, mais il a déclaré que cela ne signifie pas que les autres comptes sur la machine infectée sont en sécurité.
« Le risque est le même si ces comptes enregistrent leurs fichiers dans des volumes partagés où le compte infecté a l’autorisation de le faire », a-t-il déclaré.
Image reproduite avec l’aimable autorisation d’Intego.
Dans d’autres nouvelles sur les logiciels malveillants Mac, le fournisseur de sécurité Mac Intego met en garde à propos d’un cheval de Troie OS X appelé « Flashback » qui se déguise en une mise à jour Flash.
Il convient de noter que ces menaces, comme la plupart de celles auxquelles sont confrontés les utilisateurs de Windows aujourd’hui, reposent sur l’ingénierie sociale, incitant l’utilisateur à cliquer sur une pièce jointe ou un lien. Quel que soit le système d’exploitation que vous utilisez, c’est une bonne idée de développer un sentiment sain de scepticisme et de paranoïa face à tout document inattendu qui arrive par e-mail ou à des invites aléatoires pour « mettre à jour » le logiciel. La règle n° 1 de mes 3 règles de base pour la sécurité en ligne s’applique aussi bien aux utilisateurs de Mac qu’aux utilisateurs de Windows : « Si vous ne l’avez pas cherché, ne l’installez pas ! »
Je ne pense toujours pas qu’il soit nécessaire pour les utilisateurs de Mac d’installer un logiciel antivirus, mais pour ceux qui ne sont pas d’accord, il existe certainement un certain nombre d’options gratuites et abordables pour la protection anti-malware sur OS X. Sophos des offres un produit antivirus gratuit pour le Mac, tout comme ClamXav et PCTools. Il y a aussi plusieurs options payantes.