OSX/Dok, un nouveau malware qui dupe Gatekeeper
L’époque où le système d’Apple était bien protégé des malwares est bien terminée. Malgré les protections mises en place par le constructeur, les créateurs de logiciels malveillants parviennent toujours à passer, comme en témoigne ce nouveau-venu. Nommé OSX/Dok, il parvient à contourner Gatekeeper, la principale protection de macOS, parce qu’il est signé avec un certificat fourni par Apple. Par ailleurs, il n’est pas détecté correctement par les antivirus.
Naturellement, Apple comme les éditeurs d’antivirus vont tout faire pour bloquer ce malware précis, mais c’est bien la preuve que les protections mises en place par macOS ne suffisent jamais totalement. OSX/Dok est transmis par mail et vise les utilisateurs européens, notamment les anglophones et germanophones.
Concrètement, il prend la forme d’un fichier zip qui est en fait une application qui commence par s’installer à un endroit difficile à déloger. Elle s’ajoute aux applications ouvertes au lancement du système pour toujours être présente et une fois que c’est fait, elle affiche une alerte qui occupe tout l’écran (ci-dessus). Cette alerte recouvre les autres fenêtres et elle ne peut pas être fermée facilement, en tout cas pas sans cliquer sur son unique bouton.
C’est en cliquant sur le bouton qu’il devient vraiment malveillant, tout en restant suffisamment discret pour que l’utilisateur lambda ne voit rien du tout. Il installe le gestionnaire de paquets Homebrew et exécute un script qui installe les outils nécessaires pour mettre en place un proxy. Pour faire simple, le Mac va être configuré pour que toutes les connexions à internet passent par un serveur tiers, y compris celles qui sont sécurisées.
OSX/Dok configure également le système pour assurer que cette connexion via un serveur tiers soit maintenue entre deux redémarrages ou même après une mise à jour de macOS. Et pour cacher ses traces, il se désinstalle de lui-même.
En attendant qu’Apple bloque le certificat en question, les conseils sont toujours les mêmes. N’ouvrez pas un fichier dont vous ne connaissez pas la source. Et surtout, ne saisissez pas le mot de passe administrateur de votre Mac sans savoir exactement pour quoi faire.
Wow...
D'ailleurs ce serait intéressant que vous fassiez un comparatif des 3-4 meilleurs antivirus de 2017 (gratuits compris hehe) !
J'avoue chercher et tester plusieurs solutions mais j'ai du mal à faire mon choix...
D'ailleurs quelqu'un sait si Avast est véritablement Le meilleur antivirus gratuit ? ^^
C'est une question sérieuse ?
Car sinon la réponse est : aucun et vigilance absolue.
@stefhan
Sauf quand votre mac est branché à un réseau Windows, ça permet quand même de scanner les fichiers reçus avant de les balancer sur le serveur.
C'est pour ce cas de figure que j'ai installé Avast.
@ stefhan
Continuer à dire qu'un antivirus n'est pas nécessaire, sur Mac, c'est manquer terriblement de nuances!
Même si les virus sont très très rares, ils n'en sont pas moins réels! Et pour de nombreux utilisateurs qui ne maitrisent pas leur Mac, avoir un anti-virus est un gage d'une plus grande sérénité. Et cela permet également d'éviter de transmettre beaucoup de virus à ses correspondants sous Windows.
@MisteriousGaga
J'ai lu ça et là que les antivirus dispos sur macOs sont relativement peu efficaces, mais surtout qu'ils nécessitent pas mal de ressources pour tourner... Je peux te recommander Malwrebytes for Mac, qui n'est pas un antivirus mais capable de faire des scans quand vous le souhaitez pour retirer les menaces déjà présentes sur votre ordinateur. Voilà voilà :)
@ Totorum
Sauf que Malwrebytes ne détecte pas par exemple les extensions Safari foireuses (Adwares) si elles ne sont pas encore instalées ! Donc en matière de prévention, ce truc est très limité.
Pour des scans, il y a d'autre antivirus qu'on peut utiliser en mode démo si un jour on a comme un doute ou même si c'est trop tart et qu'on s'est chopé un adware parce qu'on aura fait confiance à un site tiers de pub à logiciels et qu'on en a installé un sans aller voir sur le site officiel de l'éditeur.
Ca ne sert à rien, la news précise que les antivirus passent à côté...
Ce genre de truc n'est pas bien dangereux car il ne demande que de la vigilance de la part de l'utilisateur. Le jour où un programme malveillant s'installera de lui-même sans aucune interaction de l'utilisateur, on pourra reparler des antivirus (et encore, utilité très limitée).
@Fumomono
Si tu lis la question, tu noteras qu'elle n'est pas en rapport direct avec le sujet de la news.
@MisteriousGaga
Malwarebytes + Sophos ;)
J'utilise https://itunes.apple.com/fr/app/virus-scanner-plus/id595374522?mt=12
Ne ralenti pas le Mac et protège aussi les navigateurs.
Depuis la dernière version le logiciel ne télécharge plus les maj, il suffit de le dés-installer totalement et de réinstaller depuis "Achats" de l'appli App Store.
@MisteriousGaga
Le plus simple tu virtualises MacOS pour surfer et lire tes mails.
@MisteriousGaga
Comme le dit Totorum, je te conseil aussi Malwarebyte à lancer de temps en temps plutôt qu'en pseudo "anti-virus" tout le temps en tâche de fond qui fera plus de mal que de bien à ton Mac...
Une pensée pour foufous...
Courage !
"Concrètement, il prend la forme d’un fichier zip qui est en fait une application qui commence par s’installer à un endroit difficile à déloger."
Je me vois mal ouvrir un fichier zip louche donc le problème est résolu pour moi ! ^^
D'ailleurs j'utilise un plugin quicklook me permettant de voir le contenu d'une archive zip. Vous pensez que si je scannais une telle archive avec ça (via le bouton espace), il y aurait un risque ?
@lll
Tu n'as qu'à tester, et tu nous diras si tu as attrapé le malware...
@lll
Oui l'exposition au virus est la même... Pour avoir ton aperçu le fichier est exécuté donc exposition identique à quelqu'un qui l'a ouvert sans "raccourci" et sans miniature... Au passage la création des fichiers d'apercu dans Mac expose pareil au virus...
Très mignon la copie d’écran du truc à ne pas Cliquer avec le lien Cliquer pour agrandir en dessous. ;)
Question à 1,23€ : Si le message et sa PJ sont lus d'abord sur un device iOS, cela permet-il de voir le piège et le supprimer sans qu'il soit ouvert sur OSX ?
@Jipy
Il n'y a pas de piège. L'application ne s'installe pas toute seule donc tant que tu ne cliques pas dessus tu ne risques absolument rien. On parle bien de malware ici, pas de virus (dont la principale caractéristique est de s'installer sans intervention de l'utilisateur).
Est ce que ca marche sous yosemite ?
Ca serait le pompom alors que les apps officielles buguent
@MisteriousGaga
J'ai eu ClamXAV, puis Avast, BitDefender et à présent ESET qui consomme très peu de ressource machine.
Je me suis basé sur les 2 grandes références :
https://www.av-comparatives.org/mac-security-reviews/
https://www.av-test.org/en/news/news-single-view/strong-protection-for-m...
Un blog intéressant :
http://securityspread.com/mac-antivirus-applications/
@stefhan
Oui pour le geek ou les jeunes, moins vrai pour les personnes âgées. Mon père à 72 ans et ne connait rien à l'informatique. Ayant tendance à cliquer sur tout je lui ai mis un AV pour assurer un minimum de protection.
@Fumomono
Pour info OSX/Spy.Dok.A à été ajouté à de nombreuses bases AV depuis le 27 avril.
ESET-NOD32 OSX/Spy.Dok.A 20170428
Fortinet MAC/Nion.A!tr 20170428
Ikarus Win32.Outbreak 20170428
TrendMicro OSX_DOK.A 20170428
TrendMicro-HouseCall OSX_DOK.A 20170428
@A884126
J'ai vu les tarifs en Suisse, la boite ne s'ennuie pas.
C'est vraiment plus efficace que Sophos, par exemple?
Parce qu'en lisant le comparatif sur le lien où y'a pas besoin de télécharger le PDF, les testeurs ont l'air de dire que Sophos est excellent, même s'il semble ralentir très, très peu la machine.
En tout cas, ce test m'a convaincu d'abandonner Avast pour Sophos.
@vache folle
Je l'avais en effet testé et il est vrai qu'il consomme beaucoup de CPU. De plus, selon les sites de références il n'arrive pas en tête des detections.
J'ai donc opté pour ESET car il est plus complet. J'utilise la version Cyber Security Pro. Il a un control parental, pare-feu ainsi qu'une option web-access qui permet de lister selon les besoins de l'utilisateur les URL autorisées ou celles qui ne le sont pas. Plus pratique que de gérer manuellement le fichier Host avec Terminal.
Les prix, il est vrai, sont élevés en Europe. Le truc c'est d'utiliser un VPN avec comme localisation Doha, Dubaï...bref le moyen orient. Les prix sur le site ESET local sont 3x moins chers et le règlement se fait sans problème avec PayPal. ;)
En complément, j'ai paramétré mon Time Capsule avec OpenDNS. Il suffit de s'inscrire, c'est gratuit, et de choisir un paramétrage par défaut ou de créer le sien.
Ce choix s'est fait vs Norton Connect Safe ou autres DNS car Open était simplement le plus rapide. Test effectué avec Namebench.
@A884126
Merci pour votre réponse.
Dernière question: J'irai voir ce qu'est openDNS, mais est-il possible de le configurer avec un fournisseur d'accès officiel?
J'utilise le câble (UPC à Genève), et si j'en crois la page de config du router, je ne vais pas pouvoir faire beaucoup de modif.
En même temps, je suis un noob total. ?
@vache folle
La configuration d'OpenDNS est très simple, cela ne nécessite pas de connaissances informatiques particulières.
https://www.opendns.com/home-internet-security/
Pour ce qui est de UPC, j'ai regardé rapidement et il semble en effet impossible de modifier les DNS- selon le manuel d'utilisation et le retour sur les forums.
J'ai rencontré le même problème avec Bouygues Télécom. Néanmoins, si vous n'avez pas de Airport Extreme ou Express chez vous il suffit de modifier les DNS sur chaque machine (Mac, iPhone, iPad ou Android) dans les paramétrages Wi-Fi.
Pour ce qui est des téléphones mobiles, il en est de même il impossible de modifier le DNS de l'opérateur. Néanmoins, vous pouvez comme moi installer Adguard Pro:
https://www.opendns.com/home-internet-security/
Et y ajouter les DNS de OpenDNS. C'est un moyen détourné qui fonctionne parfaitement.
Pages