Malware : une variante de Fruitfly traine depuis au moins cinq ans

Mickaël Bazoge |

Fruitfly refait parler de lui. Ce malware repéré en janvier est en effet de retour via une variante découverte par Patrick Wardle, qui présentera ce logiciel malveillant plus en profondeur durant une conférence à la Black Hat Security de Las Vegas. Comme son modèle, ce malware peut récupérer des informations confidentielles sur le Mac infecté en prenant le contrôle de la webcam, en réalisant des captures d’écran et en se mettant de côté les saisies réalisées au clavier. Le logiciel collecte aussi des informations sur tous les Mac connectés à un même réseau. Selon le chercheur en sécurité de Synack, le malware traine ses guêtres depuis au moins cinq ans !

Potentiellement, les malandrins qui se cachent derrière Fruitfly et cette variante sont donc en mesure d’installer d’autres malwares sur les ordinateurs infectés, et de subtiliser des données très confidentielles comme des codes de cartes bancaires et des mots de passe de connexion. Cependant, dans les faits, le chercheur en sécurité n’a trouvé aucune preuve de ce type de larcins. Selon Wardle, ce méchant bout de code pourrait surtout être utilisé pour espionner une personne, on serait loin en tout cas d’une attaque sponsorisée par un État pour déstabiliser un pays ou une organisation.

Le malware se connecte à des serveurs dont les adresses sont présentes « en dur » dans le code. Il a pu acquérir les noms de domaine correspondants, ce qui fait dire à Wardle que ce logiciel malveillant n’est plus utilisé par ses créateurs. Durant deux jours, le chercheur a tout de même pu voir que 400 Mac étaient connectés au serveur : pendant tout ce temps, il avait la possibilité d’utiliser les compétences du logiciel pour espionner ces utilisateurs à leur insu… Les domaines associés au malware ne sont désormais plus disponibles, ce qui élimine de facto une grande partie de la menace.

Apple n’avait pas tardé à réagir lorsque la découverte de Fruitfly lui avait été notifiée : le constructeur avait mis à jour les mécanismes de sécurité de macOS. Il est probable qu’il en ira de même pour cette variante.

Mise à jour — Apple confirme que tous les Mac mis à jour, y compris ceux sous El Capitan, sont immunisés.

Tags
avatar Fennec72 | 

Au sujet des malwares, de temps à autre, s'affiche sur mon Mac des alertes de sécurité (de macOS ou de l'antivirus) du type "le processus ***** cherche à se connecté à internet" et demande l'autorisation.

Une amélioration serait de pouvoir identifier rapidement si le dit processus provient d'un malware ou est simplement lié à l'une des applications ou à macOS.

avatar r e m y | 

@Fennec72

Je ne pense pas que ce soit macOS qui affiche ce type d'alerte... c'est soit LittleSnitch, soit ton antivirus.
Vois plutôt avec les développeur de l'application concernée pour lui suggérer de faire le lien avec une base de malwares connus. (Nota, la nouvelle version de LittleSnitch comporte des sets de préréglages permettant d'ignorer tous les processus lié à macOS pour ne plus avoir d'alerte les concernant)

avatar flux_capacitor | 

@Fennec72

Lance un coup de malwarebyte. Si celui-ci t'indique qu'il a détecté un trojan sur ton Mac, il le supprimera. Si tel est le cas, la seconde étape sera de désinstaller ton antivirus, qui ne sert à rien. Et de lancer malwarebyte manuellement de temps en temps, qui lui est efficace mais n'assure pas une protection "temps réel".

avatar mat 1696 | 

@flux_capacitor

Exactement !

avatar C1rc3@0rc | 

@Fennec72

Probablement que tes preferences de securité (firewall) est en mode "securité".
Vas voir dans les preferences systemes, securité -> firewall -> options

1) La t'as une premiere case a cocher pour bloquer toutes le connexions entrantes
2) ensuite t'as une liste d'applications dont tu peux autoriser ou pas la connexion a internet
3) ensuite t'as une case a cocher pour autoriser automatiquement les applications livrées avec l'OS a se connecter a internet
4) une case a cocher pour autoriser automatiquement les applications telecharger sur l'App Store a recevoir les connexion.

Je suspecte que les cases 3 et 4 soient pas cochées, et c'est ce qui genere ces messages. Pour ma part je coche jamais ces cases, comme ça le Firewall reclame chaque fois qu'un soft qui est pas dans la liste tente de se connecter au net.

Ce firewall est tres interressant car s'il est moins perfectionné que Hands off ou Little Snitch, il permet tout de meme d'autoriser assez finement l'utilisation du net par les applications. Et en cas d'installation d'une application meme par le MAS, il te dit si l'application tente de se connecter.
Apres, c'est vrai qu'il pourrait faire un peu plus dans le details.

Un des problemes qui arrive souvent ce sont les soft qui embarquent des saletés qui vont verifier les maj et qui balancent a l'editeur des données comme les nº de serie, stat d'utilisation,.. comme les m@#% d'Adobe ou de Microsoft. Comme ce sont pas les applications elles memes mais des "utilisaires" sans interface, ça peut ressembler a des malware (en fait c'est aussi nuisible qu'un malware, mais c'est tout ce qu'il y a de plus officiel). Donc si tu as des scories d'Adobe ou de MS tu sais qui est coupable.

CONNEXION UTILISATEUR