Vidéo: Comment savoir si votre Mac est infecté par un logiciel malveillant en 1 clic (Novembre 2024)
Des chercheurs ont découvert un malware conçu pour espionner les utilisateurs sur le Mac d'un militant angolais.
Le chercheur indépendant en matière de sécurité Jacob Appelbaum a découvert la nouvelle porte dérobée jusque-là inconnue du militant Mac alors qu'il participait à l'Oslo Freedom Forum, écrit sur Twitter. Il a découvert une seconde variante sur l'ordinateur d'un autre militant peu de temps après.
"Il semble que ce soit un tout nouveau programme malveillant ayant un comportement totalement nouveau", a déclaré Bogdan Botezatu de BitDefender à SecurityWatch .
Au moins dans le cas de la première attaque, le militant a été victime d'une attaque de phishing par harponnage dans le cadre de laquelle il a été tenté de télécharger et d'installer le logiciel malveillant alors qu'il était connecté au Mac, a déclaré Botezatu.
Que fait le malware?
L’application de porte dérobée semble prendre des captures d’écran de l’ordinateur de l’utilisateur et les stocker dans un dossier du répertoire principal de l’utilisateur appelé MacApp, a écrit Sean Sullivan de F-Secure sur le blog de la société. Les chercheurs de F-Secure soupçonnent qu’il a été développé commercialement, a déclaré Sullivan à SecurityWatch .
Une fois installée, l’application s’ajoute à la liste des éléments de connexion de l’utilisateur actuel, liste des applications qui s’exécutent automatiquement lorsque l’utilisateur se connecte au Mac. Le logiciel malveillant a chargé les captures d'écran sur deux serveurs de commande et de contrôle, l'un aux Pays-Bas et l'autre en France.
Le but principal du serveur de commande et contrôle est de collecter toute la capture d'écran, mais il stocke également les noms d'hôte et des informations supplémentaires sur les machines infectées, a déclaré Botezatu. Les chercheurs de BitDefender ont découvert que la deuxième variante de la porte dérobée Mac communiquait également avec un serveur roumain pour télécharger des charges utiles et des composants supplémentaires.
Il est possible que ce serveur serve de solution de rechange pour les criminels si les autres serveurs sont suspendus, a déclaré Botezatu.
Bien que le logiciel malveillant lui-même soit "peu sophistiqué", il était néanmoins capable de collecter des informations sur les activités de l'utilisateur sur cet ordinateur "sans faire trop de bruit", a déclaré Botezatu.
L'identité Apple a-t-elle été volée?
Le logiciel malveillant était signé avec un identifiant de développeur Apple valide, ce qui signifiait qu'il ne serait pas détecté par la fonctionnalité Gatekeeper de Mac OS X. Apple a introduit Gatekeeper, qui empêche l'exécution des applications non signées téléchargées sur Internet, sous Mac OS X Mountain Lion et Lion. v10.7.5 l'an dernier. BitDefender pense qu'il s'agit du premier malware malveillant pour Mac signé numériquement avec un identifiant Apple légitime.
À l'heure actuelle, on ignore si la clé a été volée à un développeur légitime ou si le développeur de programmes malveillants a trompé Apple pour qu'il génère l'ID. Considérant que le nom est similaire à une célèbre star de Bollywood qui est décédée récemment, il est probable que le développeur ait créé une fausse identité dans le cadre du processus de candidature, a déclaré Botezatu.
Les utilisateurs peuvent consulter dans leurs répertoires personnels pour voir s’il existe un dossier MacApp permettant de déterminer s’ils ont été infectés.
Bien que le logiciel malveillant soit "boiteux" puisqu'il a été facilement détecté, il était toujours "mortel", a déclaré Appelbaum. "Le problème est que l'auteur a eu la bonté de mettre quelqu'un en danger mortel", a écrit Appelbaum sur Twitter.
