Fermer le menu   
header

Des logiciels Mac comme mules pour un malware

par Florian Innocente le 1 novembre 2011 à 09:47

Sophos et Intego rendent compte tous les deux de l'apparition d'un nouveau malware - DevilRobber.A - assez sophistiqué, bien qu'encore peu répandu. Il a comme première particularité d'arriver dissimulé à l'intérieur de différentes applications Mac qui font office, malgré elles, de mules. Sophos ne donne qu'un seul exemple de ces logiciels, une version 7.4 de GraphicConverter que l'on pourrait trouver sur BitTorrent.

Intego décrit le fonctionnement de ce trojan :
- Il vérifie d'abord la présence de LittleSnitch et le désactive si nécessaire
- Il s'installe ensuite dans le dossier LaunchAgent de manière à s'exécuter à chaque ouverture de session
- Il lance quelques recherches Spotlight et insère ses trouvailles dans un fichier texte. Il récupère l'historique des commandes Terminal lancées par l'utilisateur ; l'historique de Safari ; il fait une capture d'écran et enregistre le tout. Il récupère aussi d'éventuels Bitcoins (une monnaie virtuelle). Une autre variante, explique Intego, attrape au passage le fichier du Trousseau d'accès.
- Il ouvre ensuite un port (34522), attend que l'utilisateur saisisse ses identifiants de session et les récupère puis communique ces données vers un serveur distant. Il continue ensuite à scanner le réseau ou encore chercher des images pédophiles. Il peut aussi tirer sur les ressources processeur de la carte graphique en essayant de générer des Bitcoins par des séries de calculs.

Les deux éditeurs rappelent qu'il est plus sûr de constamment télécharger les logiciels depuis les sites de leurs éditeurs respectifs.

Catégorie : 
Tags : 

Commentaire(s)

avatar nayals 01/11/2011 - 10:01

Le fichier du trousseau d'accès est facilement exploitable non ?

avatar spacetito 01/11/2011 - 10:04

Biensur qu'il est exploitable desuite et en intégralité puisqu'il a ton mot de passe.

avatar dezmob 01/11/2011 - 10:16

Et si on utilise "HandsOff!"?

avatar pval 01/11/2011 - 10:20

Hi,

http://www.osxfacile.com/

est en ligne.

avatar desimages 01/11/2011 - 10:25

C'est bizarre, depuis hier, sur certaines news MacG ios n'apparaît qu'un seul commentaire, voire aucun, alors que le compteur en affiche plusieurs. Un coup de la mise à jour en iOS 5?

avatar Anonyme (non vérifié) 01/11/2011 - 10:25

Test

avatar boulifb 01/11/2011 - 10:41

C'est marrant, ce sont toujours les entreprises d'anti virus qui "découvrent" (fabriquent?) de nouveaux virus...
Et quand l'info concerne le Mac, c'est toujours les mêmes: Sophos et Intego...

Je dis ça, je ne suis pas parano mais bon.... Il y a de quoi se poser des questions. Vous ne trouvez pas?

avatar Amonchakai 01/11/2011 - 10:45

@boulifb: bah non, c'est leurs boulot de les trouver et d'automatiser leurs detection

avatar rikki finefleur 01/11/2011 - 10:53

@boulifb C'est peut être leur rôle de le découvrir , non ?
Et pourquoi vouloir tuer la poule aux œufs d'or, alors que la poule aux d'or croit à la vitesse grand V toute seule ?

avatar Serge 001 01/11/2011 - 11:01

@ boulifb

Et pourquoi se donneraient-elles la peine de créer un virus dont elles nous disent qu'il suffit de ne pas faire le con pour éviter de se le choper ?

avatar Mac*Gyver 01/11/2011 - 11:07

en meme temps, aller cherche un soft sur Bittorent alors qu'on peut le telecharger officiellement sur le site de l'editeur...

apres le SN, c'est autre chose mais ca ne contient jamais de virus

avatar BeePotato 01/11/2011 - 11:20

@ mac*gyver : C’est pour ça que ce cheval de Troie mérite vraiment le titre de piège à cons. :)

avatar EBLIS 01/11/2011 - 11:20

@Boulifb
"C'est marrant, ce sont toujours les entreprises d'anti virus qui "découvrent" (fabriquent?) de nouveaux virus...
Et quand l'info concerne le Mac, c'est toujours les mêmes: Sophos et Intego...

Je dis ça, je ne suis pas parano mais bon.... Il y a de quoi se poser des questions. Vous ne trouvez pas?"

Faut arrêter de voir le mal partout.
Il serait plus intéressant de parler de l'obsolescence programmée qui dans le même esprit de ce que tu dis est elle, un vrai problème.

avatar subseabook 01/11/2011 - 11:29

Sur divers sites US j'ai noté ces commentaires qui indique que ce malware a été trouvé par ex sur AudioHijack Pro décharger sur un site de PTP mais qu'il était inactif a cause de little snitch .
Apparemment et sous toutes réserves le malware ne désactive pas little snitch mais il reste inactif et ne démarre pas quand il détecte Little Snitch

Good to know that Little Snitch prevented it from running because I scanned my drive (VirusBarrier Express) and found that DevilRobber was hiding in a torrent-downloaded version of AudioHijack Pro
Technically, it's not that Little Snitch prevented it from running, it's just that the malware, on detecting Little Snitch, decides not to run. 2.10.

avatar Anonyme (non vérifié) 01/11/2011 - 11:39

boulifb :
L'histoire des premiers virus sur PC et Norton ... il y a quelques légendes urbaines qui circulent comme quoi ça serait Norton qui a lancé les premiers virus.
Moi je pense que c'est une excellente raison pour ces sociétés de créer des virus, pas vous ? Ils ont les méthodes, c'est leur domaine, et ça leur rapport du blé.

avatar rom54 01/11/2011 - 11:39

Interressant de voir que de nombreuses réaction parlent de virus, alors qu'il ne s'agit absolument pas d'un virus!

Pour installer ce logiciel espion il faut telecharger une version "detournee" d'un logiciel officiel sur un site d'échange. Il faut ensuite installer ce logiciel sur son ordinateur en passant pas le compte administrateur et en donnant son mot de passe administrateur.

Ce type de comportement est équivalent a prendre une voiture de nuit, sans ceinture, complètement soul, sans phare et prendre l'autoroute a contre sens!

Bref, il ne s'agit ni d'un virus ni meme d'un trojan, il s'agit d'un logiciel espion installe explicitement par l'utilisateur...

Alors qu'il y ait assez de personnes assez inconscientes pour avoir un comportement aussi stupide est une évidence hélas, mais il faut tout de meme bien se rendre compte que le danger est ici la stupidité (mélangée a l'ignorance) mais qu'il ne s'agit nullement d'une menace de sécurité...

avatar subseabook 01/11/2011 - 11:45

D’après Apple Insider

DevilRobber est également connu sous le nom "OSX/Miner-D" et recherche en plus de ce qui est mentionné par Florian des fichiers “pthc” fichiers pédophiles

The malware has also been found to search for “pthc” files, a term that is used to describe pre-teen hardcore pornography. It is not known at this time whether one of the secondary features of DevilRobber is to find traces of child abuse on affected computers.

avatar makidoko 01/11/2011 - 12:18

Marrant, si l'on peut dire, le titre et le contenu de ce type de news qui nous vend presque un phénomène chronique, comme une découverte récente des dernières perversité dont sont capables les crackers.

De tout temps il a été complètement stupide de télécharger n'importe quoi juste parce que c'est gratuit ou parce que c'est "fun".

Le seul contenu utile c'est : ne téléchargez jamais un programme payant, gratuitement, car rien de ce qui est payant n'est gratuit. Et si quelqu'un prend le soin de faire une rétro-ingénierie pour contourner les dispositifs de sécurité d'un logiciel, c'est qu'il compte sur un retour sur investissement, dont vous n'avez pas idée et êtes le premier financier.

avatar noooty 01/11/2011 - 12:35

@mac*gyver :
il m'est déjà arrivé de charger des applications sur du torrent, mais juste pour avoir les codes. Je n'ai jamais ouvert les applications, juste les text edit que j'ai ensuite appliqué aux app officielles des sites officiels... Plus sûr...

avatar titi-henry 01/11/2011 - 13:49

@ rom54

"Ce type de comportement est équivalent a prendre une voiture de nuit, sans ceinture, complètement soul, sans phare et prendre l'autoroute a contre sens!"

C'est ce que tout le monde fait quand le marketing joue à fond. Mais oui cette mercedes est blindée d'organes de sécurité: ABS, ESP, controle de trajectoire etc... enfin limite la voiture se conduit presque toute seule cela veut-il dire que vous ne vous planterez jamais avec une Mercedes?... Bien sur que non C'est la même chose sur mac... aucun malware aucun virus... aucun système n'est infaillible. Tu es encore plus vulnérable de fait que tu te penses invincible.

" Alors qu'il y ait assez de personnes assez inconscientes pour avoir un comportement aussi stupide est une évidence hélas, mais il faut tout de meme bien se rendre compte que le danger est ici la stupidité (mélangée a l'ignorance) mais qu'il ne s'agit nullement d'une menace de sécurité... "

Je ne dirais pas que les gens soient stupide, tout le monde ne s'intéresse pas à l'informatique et encore moins à la sécurité informatique. Certaines personnes utilisent l'informatique par besoin peu importe les risques qu'ils encourent, un problème d'éducation très certainement. Le même problème se pose sous Windows, si les gens gardaient leur logiciels et Windows à jour, Windows n'aurait très certainement pas si mauvaise réputation concernant les virus.
Enfin comme d'habitude le problème se situe comme toujours entre la chaise et le clavier.

@rom54
Quand à ton intervention sur le fait de savoir si on parle de virus de malware trojan ou peu importe le nom... honnêtement on s'en balance parce que quand tu te fais arnaquer la seule chose que tu vois c'est que ton compte bancaire a été débité et dans ce cas crois moi peu importe qui ou quoi a fait ça la seule chose que tu souhaites c'est récupérer tes sous. Lorsque quelqu'un se fait voler sa voiture crois tu que savoir qui lui a volé sa voiture est important?? Non il veut juste récupérer sa voiture.

avatar thierry37 01/11/2011 - 14:06

Petite question à la ronde :
Pour vous prémunir de tels malwares, est ce que vous avez un compte admin, de coté. Et votre session habituelle n'a pas les droits admin ??

J'avais lu que c'était une précaution à ces malwares et autres trojan, qui peuvent s'installer sans mot de passe, car la session (en admin) est déjà ouverte.

Des spécialistes pourraient bois confirmer l'utilité ou pas?? Merci

avatar JPTK 01/11/2011 - 14:32

[quote]C'est marrant, ce sont toujours les entreprises d'anti virus qui "découvrent" (fabriquent?) de nouveaux virus...
Et quand l'info concerne le Mac, c'est toujours les mêmes: Sophos et Intego...

Je dis ça, je ne suis pas parano mais bon.... Il y a de quoi se poser des questions. Vous ne trouvez pas ?[quote]

[quote]Moi je pense que c'est une excellente raison pour ces sociétés de créer des virus, pas vous ? Ils ont les méthodes, c'est leur domaine, et ça leur rapport du blé.[/quote]

C'est évident, tellement tentant et facile. En tout cas il est évident qu'ils font tout pour que leurs logiciels se vendent, alors pourquoi pas créer le mal eux-mêmes ou payer des gens pour le faire. C'est pas de la parano mais du bon sens, du réalisme, c'est pas dreamland le monde des entreprises.

[quote]Et pourquoi se donneraient-elles la peine de créer un virus dont elles nous disent qu'il suffit de ne pas faire le con pour éviter de se le choper ?[/quote]

Réfléchis 2 minutes, faut paraître crédible et avoir un discours cohérent, faut montrer pattes blanches. Ils disent ça et en même temps ils vendent leur logiciel qui reste selon eux la meilleure façon se de protéger, surtout quand tu aimes faire le con justement.

En tout cas il est quand même bien abouti celui-là boudiou !!

avatar JPTK 01/11/2011 - 14:34

Putain de fonction "edit" qui fonctionne toujours pas... :-/

[quote]C'est marrant, ce sont toujours les entreprises d'anti virus qui "découvrent" (fabriquent?) de nouveaux virus...
Et quand l'info concerne le Mac, c'est toujours les mêmes: Sophos et Intego...

Je dis ça, je ne suis pas parano mais bon.... Il y a de quoi se poser des questions. Vous ne trouvez pas ?[/quote]

[quote]Moi je pense que c'est une excellente raison pour ces sociétés de créer des virus, pas vous ? Ils ont les méthodes, c'est leur domaine, et ça leur rapport du blé.[/quote]

C'est évident, tellement tentant et facile. En tout cas il est évident qu'ils font tout pour que leurs logiciels se vendent, alors pourquoi pas créer le mal eux-mêmes ou payer des gens pour le faire. C'est pas dreamland le monde des entreprises.

[quote]Et pourquoi se donneraient-elles la peine de créer un virus dont elles nous disent qu'il suffit de ne pas faire le con pour éviter de se le choper ?[/quote]

Réfléchis 2 minutes, faut paraître crédible et avoir un discours cohérent, faut montrer pattes blanches. Ils disent ça et en même temps ils vendent leur logiciel qui reste selon eux la meilleure façon se de protéger, surtout quand tu aimes faire le con justement.

En tout cas il est quand même bien abouti celui-là boudiou !!

avatar Orus 01/11/2011 - 18:08

Oui c'est toujours les même sociétés qui trouvent ce genres de Malwares et autres virus sur nos Mac. Étrange, non ? Jamais les Mac Fanatiques les plus pointus.
Faut arrêtez de voir le mal partout, certes, mais là, on se fout de nous.

avatar marc_os 01/11/2011 - 23:37

@ boulifb, Jayce68 et orus : Signez avec votre nom vos allégations, et n'allez pas pleurer si vous vous chopez un procès en diffamation.

[quote=orus]Oui c'est toujours les même sociétés qui trouvent ce genres de Malwares et autres virus sur nos Mac. Étrange, non ?[/quote]
Enfin, juste une question : Que diriez-vous si la société qui a créé l'anti-virus que vous avez installé ne découvrait pas les virus et autres malwares quand ils apparaissent, laissant ainsi votre ordi non protégé ? Seriez-vous content ?

Pages

Connexion utilisateur