MacDownloader : le malware amateur

Mickaël Bazoge |

MacDownloader est un malware macOS apparu récemment, qui vise notamment l’industrie américaine de la défense. Les deux chercheurs à l’origine de cette découverte, Claudio Guarnieri et Collin Anderson, pensent qu’il s’agit d’une attaque provenant d’Iran, mais elle n’est pas d’un très grand danger au vu de l’amateurisme des hackers.

Le programme malveillant a été repéré sur un site d’hameçonnage reproduisant le design du site de la société aérospatiale United Technologies ; ce clone a déjà servi par le passé à répandre des malwares Windows et de ce qu’on en connait, il serait effectivement maintenu par des pirates iraniens.

Le site bidon demande, en français dans le texte, d’activer le plug-in Flash — Cliquer pour agrandir

Les internautes qui se rendraient sur ce site sont invités à télécharger des logiciels gratuits et à visionner des cours en vidéo qui se destinent d’abord aux employés de grandes entreprises aéronautiques et aux avionneurs comme Boeing ou Lockheed Martin. Mais voilà, pour pouvoir lire les vidéos, il faut d’abord activer un vrai-faux plug-in Flash qui est en fait le vecteur d’infection de MacDownloader. Étrangement, l’invitation est en français.

Le malware a été développé pour subtiliser les identifiants de l’utilisateur, en piochant dans le Trousseau d’accès et en affichant de fausses boîtes de dialogue réclamant les mots de passe de la victime. Il est néanmoins peu probable de tomber dans le panneau, car les boîtes de dialogue en question sont bourrées de fautes de grammaire : le ou les pirates n’ont pas fignolé la finition. De plus, MacDownloader échoue à récupérer et installer du code malicieux sur le Mac infecté.

Les chercheurs ont également noté que le malware ciblait aussi les militants des droits de l’homme, or en Iran beaucoup d’entre eux possèdent des appareils Apple, indiquent-ils. Raison de plus pour être vigilant.

Source
PCWorld
Tags
#MacDownloader #malware #sécurité
avatar jb18v | 

Little Snitch est un très bon outil pour valider ce qui peut surtout sortir du Mac, mais ça revient à constater les dégats. Pour ce qui est de surveiller ce qui arrive, c'est le rôle du firewall.
Sans aller jusqu'à une suite de sécurité dédiée (antivirus, firewall et tout le bouzin), il faut surtout respecter une conduite prudente : ne pas télécharger n'importe où, n'installer que depuis le store ou les sites officiels des éditeurs, ne pas rentrer son mdp admin sans réfléchir quel programme le demande et pourquoi.. Et si possible avoir un compte utilisateur qui ne soit pas l'administrateur pour réduire les risques. Mais je pense que tu auras plus d'infos sur les forums de MacG ;)

avatar Lightman | 

@jb18v

Little snitch fait aussi firewall. Je recommande.

avatar C1rc3@0rc | 

En fait il n'y a pas de recette miracle mais une strategie et une discipline utilisant les possibilités de MacOS:

Dans les preferences systeme:

- Avoir des comptes sessions separés avec droits d'acces adaptés : 1 compte administrateur et un compte utilisateur au minimum.
On peut aussi segmenter ses compte par usage, par exemple definir un compte pour gerer ses finances, administration, etc et un autre pour aller surfer sur le web moins securisé.

- Utiliser les possibilités du controle parentale pour chaque compte utilisateur: y plein d'options qui servent aussi a securiser en compte sans que cela concerne forcement les enfants...
On peut nottament bloquer l'acces a la camera, limiter Mail aux contacts present dans le carnet d'adresse, limiter le lancement des softs a ceux explicitement choisi, restreindre l'acces aux sites que l'on connait et dont on est certains...

Mine de rien rien que ces 2 familles de reglage permettent de mettre hors jeu la majorité des malware.

Ensuite , toujours dans les preferences systeme il faut:

- activer la securité sur le mode "paranoiaque" dans les preferences systeme (onglet Sécurité):
- autoriser uniquement l'installation des applications de l'App Store en temps normal
- activer filevault
- activer le Firewall et desactiver l'acces reseau (Firewall Option) a toutes les applications sauf celles qui le necessitent vraiment. On peut aussi activer le mode "Stealth".
- dans l'onglet "privacy" desactiver les acces a la position, carnet d'adresse, calendriers,... pour toutes les applications sauf celles pour qui c'est vraiement justifié

Dans les navigateurs WEB (Safari par exemple):
- desactiver la decompression et l'ouverture automatique des fichiers telechargés
- desactiver le remplissage automatique des champs cartes de credit, nom, mot de passe,...
- desactiver les options automatique de recherche (suggestions,...)
- desactiver Java et restreindre le plus possible les plug-in
- bloquer les pop-up Windows (security)
- restreindre les cookies a la page courrante (onglet privacy)
- interdire les notifications en general (onglet notifications)
- limiter les extensions au strict necessaire (Adblock plus)
- Forcer l'affichage de l'adresse web complete, ça aide face au fhshing !
- Forcer l'affichage des textes a une taille minimale visible...
- utiliser la navigation privée le plus possible

On peut aussi avantageusement utiliser 2 navigateurs:
- Firefox, Chrome ou Safari pour les sites connus et securisés
- Tor Browser pour tout le reste!

Au niveau des email, faut avoir plusieurs comptes qui sont attribués a des usages precis et selon des niveaux de securité, genre un email pour l'administratif, finance et achat. un pour la correspondance avec ses amis et famille et un autre pour le reste (reseaux sociaux,..). Et penser a utiliser les alias mail le plus possible.

Faut aussi penser a utiliser des identifiants et mots de passe uniques et cela pour chaque service, sites,... Et changer regulierement ses mots de passes.

Il faut aussi savoir selectionner le minimum de soft dont on a vraiment besoin et ne rien installer de superflu.

Tout ça est gratuit, simple et tres efficace.
On peut ensuite augmenter la securité avec un antivirus passif pour scanner manuelement les fichiers telechargés.

Apres il y a aussi Hands Off ou Little snitch qui permettent d'analyser les acces reseaux et aux fichiers. Ca protege pas vraiment, mais ca permet de voir si il y a un truc anormal tres tres vite.

avatar AirForceTwo | 

Il faut surtout commencer par désactiver UPnP et autre NAT-PMP de tout routeur. Ces machins permettent d'ouvrir des ports à la volée, donc un malware pourrait parfaitement ouvrir un serveur sur un ordinateur.

avatar r e m y | 

@AirForceTwo

Sans UPnP, plus d'Accès à mon Mac...

avatar pacis | 

"......car les boîtes de dialogue en question sont bourrées de fautes de grammaire..."
encore faudrait-il que les personnes détectent les fautes de grammaires , quand je vois le niveau de l'école actuel !

avatar Mickaël Bazoge | 

@pacis

A priori les gens visés par ce malware sont plutôt bien éduquées. Mais c'est vrai que dans le cas des tentatives de phishing grand public, les fautes ne sont parfois pas repérées.

avatar YARK | 

Permettez-moi d'intervenir :

"quand je vois le niveau de l'école actuel !"
-->"quand je vois le niveau actuel de l'école" ou "quand je vois le niveau de l'école actuelle" ?

"A priori les gens visés par ce malware sont plutôt bien éduquées."
-->"A priori les gens visés par ce malware sont plutôt bien éduquÉS".

Ceuxssi dit jean fé pa mal ôssi.

Bien cordialement.

avatar pa2gatototo | 

Lorsqu'on "fignole" c'est toujours la finition.

avatar Ginger bread | 

Le mac dans le domaine de la defense? Lol
Ce n est pas en France qu on risque de se faire pieger

avatar lll | 

Comme si l'espionnage n'avait pas d'autres filons pour obtenir des infos ! ;)

avatar C1rc3@0rc | 

Faut pas sous estimer l'ingeniere sociale comme methode d’espionnage.
L'utilisateur de Mac a encore le sentiment d'etre invulnerable et l'utilisateur diPhone a rarement la conscience que sa machine peut etre infectée, ce qui fait de l'utilisateur Apple une cible tres facile.
Ensuite, l'utilisateur Apple a souvent un niveau social elevé, est en contact avec des personnes cles de haut niveau et evolue dans des cercles professionnels tres interressants comme cible pour l'espionnage industriel, commercial, scientifique, politique,...

On a pas idée a quel point les reseaux sociaux sont des outils efficaces pour atteindre une cible en hacking social. C'est comme une autoroute avec des enormes panneaux pour identifer les cibles.
Le hacking sociale va aussi beaucoup utiliser les reseaux familiaux, d'amis,... pour atteindre ces cibles.

Donc il n'est pas necessaire que la cible utilise un Mac ou un iPhone pour etre vulnerable, il suffit que ses gamins ou amis soient pas vigilants, et hop. Et la meilleure cible est celle qui n'a pas conscience d'etre une cible et que son entourage reel ou virtuel est une chaine d'acces.

avatar mfams | 

Vite Trump, un plus grand "firewall" aux frais des iraniens!!

avatar Le docteur | 

La page en français pour l'activation du plugin montre le rayonnement de l'aéronautique hexagonale dans le monde.
Si !

avatar C1rc3@0rc | 

La forme hexagonale ne me semble pas avoir une aerodynamique des plus interressantes, quant a sa possibilité de rayonnement, il me semble que la parabole est plus efficace pour realiser un antenne

;)

avatar françois bayrou | 

Oui mais pour les parachutes c'est le top.

avatar Le docteur | 

:D

CONNEXION UTILISATEUR