Sophos et Intego rendent compte tous les deux de l'apparition d'un nouveau malware - DevilRobber.A - assez sophistiqué, bien qu'encore peu répandu. Il a comme première particularité d'arriver dissimulé à l'intérieur de différentes applications Mac qui font office, malgré elles, de mules. Sophos ne donne qu'un seul exemple de ces logiciels, une version 7.4 de GraphicConverter que l'on pourrait trouver sur BitTorrent.
Intego décrit le fonctionnement de ce trojan :
- Il vérifie d'abord la présence de LittleSnitch et le désactive si nécessaire
- Il s'installe ensuite dans le dossier LaunchAgent de manière à s'exécuter à chaque ouverture de session
- Il lance quelques recherches Spotlight et insère ses trouvailles dans un fichier texte. Il récupère l'historique des commandes Terminal lancées par l'utilisateur ; l'historique de Safari ; il fait une capture d'écran et enregistre le tout. Il récupère aussi d'éventuels Bitcoins (une monnaie virtuelle). Une autre variante, explique Intego, attrape au passage le fichier du Trousseau d'accès.
- Il ouvre ensuite un port (34522), attend que l'utilisateur saisisse ses identifiants de session et les récupère puis communique ces données vers un serveur distant. Il continue ensuite à scanner le réseau ou encore chercher des images pédophiles. Il peut aussi tirer sur les ressources processeur de la carte graphique en essayant de générer des Bitcoins par des séries de calculs.
Les deux éditeurs rappelent qu'il est plus sûr de constamment télécharger les logiciels depuis les sites de leurs éditeurs respectifs.
Intego décrit le fonctionnement de ce trojan :
- Il vérifie d'abord la présence de LittleSnitch et le désactive si nécessaire
- Il s'installe ensuite dans le dossier LaunchAgent de manière à s'exécuter à chaque ouverture de session
- Il lance quelques recherches Spotlight et insère ses trouvailles dans un fichier texte. Il récupère l'historique des commandes Terminal lancées par l'utilisateur ; l'historique de Safari ; il fait une capture d'écran et enregistre le tout. Il récupère aussi d'éventuels Bitcoins (une monnaie virtuelle). Une autre variante, explique Intego, attrape au passage le fichier du Trousseau d'accès.
- Il ouvre ensuite un port (34522), attend que l'utilisateur saisisse ses identifiants de session et les récupère puis communique ces données vers un serveur distant. Il continue ensuite à scanner le réseau ou encore chercher des images pédophiles. Il peut aussi tirer sur les ressources processeur de la carte graphique en essayant de générer des Bitcoins par des séries de calculs.
Les deux éditeurs rappelent qu'il est plus sûr de constamment télécharger les logiciels depuis les sites de leurs éditeurs respectifs.
