OSX/CoinThief.A : un trojan sur Mac vole des bitcoins

Stéphane Moussie |

Un nouveau logiciel malveillant qui opère sur Mac a été débusqué par SecureMac. OSX/CoinThief.A ne cherche pas à transformer la machine en un botnet, il est destiné à voler des bitcoins.

Photo Antana CC BY-SA

Ce trojan se fait passer pour une application qui sert à recevoir et à envoyer cette monnaie entièrement décentralisée. StealthBit, c'est le nom du logiciel, installe en fait silencieusement une extension sur Chrome et Safari pour espionner la navigation web et plus particulièrement les connexions aux sites dédiés au Bitcoin. « Quand les données de connexion sont repérées, par exemple quand l'utilisateur se connecte à un site pour vérifier son portefeuille, un composant du malware envoie l'information à un serveur distant mis en place par les auteurs de l'attaque », indique SecureMac.

Outre l'extension navigateur, qui est maquillée en un bloqueur de pop-up, StealthBit installe un programme qui tourne à l'arrière-plan pour notamment lui permettre de se mettre à jour. Un internaute affirme s'être fait voler 20 bitcoins, soit environ 9 000 € au cours actuel, de cette façon. OSX/CoinThief.A dérobe par ailleurs l'identifiant unique du Mac (UUID), le nom du compte utilisateur et des infos relatives à la présences d'autres applications dédiées au Bitcoin.


avatar Mark Twang | 

M'en fiche, je n'ai pas de phalluscanard.

avatar bugman | 

Bien moi j'ai des queuesanatidés et je suis bien content de l'apprendre.

avatar T-Dii | 

Mais ça sert à quoi des palusdangle ?

avatar bugman | 

@ T-Dii : A mettre sa bourse de coté. ;)

avatar T-Dii | 

*phalusdangle

avatar Vouzemoi | 

On est sur de l'info car depuis plusieurs années on m'affirme qu'un virus/trojan/malware ne peut pas exister sur mac. On m'a même conseillé de ne jamais installer un anti virus ou tout autre logiciel de détection. De plus autant je peux admettre que Chrome puisse être infecté, il est impossible que safari puisse avoir une faille à ce niveau.
Je pencherais donc pour un apple bashing de plus

avatar bugman | 

De toi à moi, ce trojan se fait passer pour une application (je suppose donc qu'il est à installer et lancer en administrateur pour qu'il puisse ensuite à son tour installer une extension sur le navigateur et ce de façon automatique).

"autant je peux admettre que Chrome puisse être infecté, il est impossible que safari puisse avoir une faille à ce niveau."
Ah bon !?!

avatar Mark Twang | 

@Vouzemoi

Attention, Apple n'est pas magique. L'informatique est pleine de défauts et de failles. C'est juste que par sa "faible" représentation sur la toile, Apple n'était pas ciblée, et que par la "fermeture" (très relative) de son système, le bord d'attaque d'OS X est réduit. Rien n'empêche un hacker motivé d'exploiter des failles ou un cheval de Troie d'être ouvert par l'usager. On est plus en sécurité sur Mac, mais il faut cependant être attentif et prudent.

avatar joneskind | 

@Vouzemoi

Ça fait plusieurs années que tu viens et t'as toujours rien compris aux virus sur Mac ? Il va peut-être falloir consulter mon gars hein...

Je le dis, parce que visiblement t'as besoin qu'on te le répète, il n'y a PAS de virus AUTOEXECUTABLE sur Mac, pas plus que sur n'importe quel autre système UNIX. Donc CE virus, comme TOUS les autres sur système UNIX, c'est l'UTILISATEUR qui l'a INSTALLÉ. Et le système lui a même demandé la PERMISSION pour ça. L'utilisateur a dû taper son MOT DE PASSE ADMINISTRATEUR. D'ailleurs, si tu avais pris la peine de LIRE l'article, c'est écrit NOIR SUR BLANC à la première ligne du deuxième paragraphe:

"Ce trojan se fait passer pour une application qui sert à recevoir et à envoyer cette monnaie entièrement décentralisée. StealthBit, c'est le nom du logiciel, installe en fait silencieusement une extension sur Chrome et Safari pour espionner la navigation web et plus particulièrement les connexions aux sites dédiés au Bitcoin"

Si tu veux avoir CE virus sur ton ordinateur tu dois INSTALLER StealthBit, parce qu'il est INCAPABLE de le faire TOUT SEUL. Par conséquent, un antivirus est inutile sur système UNIX tant que tu n'INSTALLES pas n'importe quoi, à la différence de Windows où un programme n'a pas besoin de ton autorisation pour s'installer, et si tu n'as pas pris soin de désactiver l'autoexecutable dans tes paramètres, il peut même s'installer tout seul, sans le moindre geste de ta part.

Ça y est c'est rentré ?

avatar _mabeille_ | 

@joneskind

1) c'est faux, une exploitation de faille avec élévation des privilèges permet l'installation de programme malveillant à ton insu. C'est d'ailleurs le but de l'exploitation d'une faille d'un logiciel tiers.
2) Imaginer naïvement que parce que base UNIX = aucun risque relève de la connerie pure dont tu n'es pas dépourvu.
3) le terme virus est employé à tort et en terme générique il doit être remplacé par malware ou programme malveillant, donc avec ta culture (soi disant) jouer sur les mots c'est petit.
4) Les virus aujourd'hui ne sont plus présents, ils ont été remplacé par d'autres famille plus lucratives, pourtant le terme virus est encore employé comme nom générique. partant de là dire qu'il n'y a pas de virus sur Mac c'est vrai mais il y a plein d'autres choses toutes aussi nocives....
5) Dire que l'os est robuste est une chose mais nous utilisons un certains nombre de soft qui eux ne le sont pas.
6) Aux dernières nouvelles les Os de Microsoft sont tout aussi robuste.

J'espère que ça rentre dans ta petite tête cette fois ci.

Tu comprendras que le ton de mon intervention est directement calqué sur le tien. Tu mérites ce que tu infliges, grossier personnage.

avatar joneskind | 

@Mabeille

T'as vu le ton qu'a employé Vouzemoi avant de me traiter de grossier personnage ?

Par ailleurs, je n'ai jamais dit qu'il n'y avait pas de failles sur OSX. Mais j'en ai jamais vu qui vienne d'ailleurs que Java ou Flash. Et comme ces programmes sont absents du Mac par défaut, et du mien en particulier. J'en parle pas.

Enfin je parlais de 2 choses qui font que Windows est plus sensible aux attaques qu'un UNIX par défaut, mais je t'accorde - comme je l'ai plus ou moins sous entendu d'ailleurs - qu'il y a eu des progrès de faits:
- l'Autoexecutable qui favorise l'installation d'un programme quand t'as le dos tourné. Typiquement, tu télécharges un Zip, tu vas boire un café pdt ce temps là, le tps que tu reviennes l'archive est dézippée et t'as rien vu.
- L'absence de droits admin par défaut qui permet à n'importe quel programme de faire les modifications système qu'il veut sans te demander ton avis - et donc t'informer que t'es en train de faire un truc potentiellement dangereux.

Si Windows est assez sûr aujourd'hui, c'est parce qu'il intègre l'antivirus de Microsoft par défaut, pas pour la fiabilité intrinsèque du système.

avatar _mabeille_ | 

@ joneskind tu parles de quel commentaire de vouzemoi? Celui de 10/02/2014 - 19:46 ???
je n'y vois rien à redire.
mais peut être je me trompe au quel cas tu pourras m'expliquer.

ensuite concernant la sécurité de windows depuis Vista elle a été considérablement augmenté.
d'où le get a mac où il se moquait à raison du garde du corps qui demandait tjs l'autorisation.

je note aussi que le défaut était que les gens restaient en mode admin sans mot de passe là où par défaut sur mac os x la confirmation est obligatoire et le mot de passe recommandé.

l'adjonction d'un mode sandboxing d'un mode userland depuis vista n'empêche pas les failles et leur exploitation. ça reste un fait et celà le restera tjs.

avatar Log_Boy | 

C'est une autre culture ces commentaires...

avatar Hideyasu | 

@vouzemoi

L'antivirus oubli. La le problème, comme cela a été cité, c'est qu'une personne a saisi son mot de passe administrateur pour installer l'application.
Si tu télécharge des Apps sûrs, & que tu contrôle correctement tout t'es téléchargements tu n'aura jamais de soucis.

avatar Moonwalker | 

Il serait temps que MacGeneration nous fasse un article fouillé sur les pratiques de Softonic et CNET Download, qui insèrent des adwares dans les applications qu'ils proposent au téléchargement.

Les cas commencent à s'additionner en ce moment sur le forum technique. Encore pas plus tard que hier avec Cyberduck.

Les utilisateurs peu avertis pensent avoir affaire à des sites de qualité qui se prétendent "clean", souvent bien placés dans la recherche Google, mais qui leurs installent des nuisances dont il n'est pas simple de se dépêtrer.

Au passage, tout cela dans le plus grand mépris des licences des logiciels distribués.

avatar lmouillart | 

Sourceforge procède de même sur certains logiciels.

avatar Moonwalker | 

Sauf à me tromper, SourceForge ne gère pas les logiciels mis en ligne. Ils restent sous la responsabilité des membres d'un projet.

Là, il s'agit d'une politique délibérée de ces plateformes qui modifient les logiciels pour y insérer des adwares tels que le maintenant trop célèbre chez nous Geneio.

Il faut savoir que ce machin dispose d'un ID Apple qui lui permet de passer Gatekeeper. Si Intego le considère comme un malware et détecte sa présence, ça ne semble pas le cas de tout le monde.

La dernière mouture de DivX propose aussi une de ces saloperies. Ne cliquez pas trop vite à l'installation d'une application mais prenez le temps de bien lire les options proposées dans chaque fenêtre. Décocher une case peut vous éviter bien des désagréments.

avatar lmouillart | 

Non c'est bien la plateforme sourceforge qui distribue certains programmes modifiés avec adware : http://malwaretips.com/threads/sourceforge-net-adds-adware-installers-provided-by-ask-com.17247/ , pour le moment cette "fonctionnalité" uniquement disponible pour Windows.

avatar Moonwalker | 

On en apprend tous les jours… et pas des meilleures. :-(

Merci pour le lien.

avatar _mabeille_ | 

@Moonwalker c'est absolument vrai et c'est une très bonne idée.
Je confirme.

avatar Mark Twang | 

Oui, il faut systématiquement les éviter et chercher le site de l'éditeur.

avatar geranium | 

Ne jamais entrer le mot de passe admin lors d'une installation à part pour quelques cas particuliers : Onyx, CCC, ...

avatar bugman | 

@ geranium : quelques fois c'est obligatoire, suivant le type d'application. Certains logiciels ont besoin d'aller assez profondément dans le système pour pouvoir fonctionner (Exemple : drivers, firewall, protections des logiciels... etc...)

avatar Mactot18 | 

+1 Moonwalker
J'ai eu le cas il y a peu de temps. Une véritable saloperie. J'ai eu l'impression de revenir sous windows.
Ca commence a être rasoir ces sites auparavant fiables qui chargent en même temps un programme qui te pourri la vie.

avatar joneskind | 

@geranium

Le mieux, pour remplacer Carbon Copy Cloner et Onyx, c'est encore d'utiliser les lignes de commande Terminal. C'est bien documenté.

avatar bugman | 

@ joneskind : Je n'ai rien contre le terminal (de loin) mais dans quel intérêt au bout du compte de l'utiliser plutôt qu'Onyx ?

avatar joneskind | 

@bugman

Parce que je n'utilise Onyx que pour certaines petites modifications système - donc en gros je l'ouvre une fois et après c'est fini - et que j'utilise la partition de récupération pour réparer les autorisations de disque, c'est plus fiable.

avatar Teeto | 

20 bitcoins = 9000€...

Punaise j'aurai vraiment dû investir là dedans quand j'étais petit plutôt que d'acheter des playmobiles en plastoc..

avatar Teeto | 

20 bitcoins = 9000€...

Punaise j'aurai vraiment dû investir là dedans quand j'étais petit plutôt que d'acheter des playmobiles en plastoc..

avatar Teeto | 

20 bitcoins = 9000€...

Punaise j'aurai vraiment dû investir là dedans quand j'étais petit plutôt que d'acheter des playmobiles en plastoc..

avatar frankm | 

Il faut installer cette application et non elle s'installe seule et secrètement!
Perso, tous les comptes y compris le mien son en mode standard. Je suis le seul à connaître le mot de passe du compte administrateur.

avatar Stardustxxx | 

Expliques moi comment le malware Mask a reussi a s'installer sur OS X (et Windows et Linux et...) pendant pres de 7 ans sans jamais avoir été détecté auparavant ?
http://arstechnica.com/security/2014/02/meet-mask-posssibly-the-most-sophisticated-malware-campaign-ever-seen/

OS X est un systeme d'exploitation comme les autres, il y a des failles.
Il y a toujours des failles!!!

avatar Moonwalker | 

En l'installant tout simplement.

Il vise des gros poissons et la faille exploitée a été comblée il y a deux ans.
http://www.adobe.com/support/security/bulletins/apsb12-07.html

380 posts infectés sur 7 ans ? Et la plus part au Maroc ? On est dans le marché de niche de l'espionnage institutionnel. Ça ne nous concerne pas vraiment.

Moralité : faire les mises à jour de sécurité.

avatar Stardustxxx | 

Si il faut faire des mises a jours de sécurité c'est qu'il y a des failles....

Et il y a des failles sur tous les OS.

Il suffit de regarder les resultats de pwn2own pour le voir : tous les os et tous les browsers tombent a chaque fois.

avatar Moonwalker | 

Ce que tu énonces est un lieu commun.

avatar heret | 

un "trojan", et vas-y comme je me la pète ! En français, on dit un cheval de Troie...

avatar Hideyasu | 

Sur Mac sauf erreur de ma part il est impossible d'en prendre le contrôle à distance sans autorisation de l'administrateur.

& il me semble que globalement, les chevaux de Troie sont beaucoup plus rares sur Mac, & le peu qui existe sont très limités (prise de screen etc)

A confirmer je qui pas expert dans ce domaine.

avatar Moonwalker | 

Le cheval de Troie exploite en premier lieu la faille humaine. Elle est commune à toutes les architectures.

Qu'il y en ait en plus grand nombre sur Windows que sur Mac est une question d'opportunité pas de nature du système.

OS X est un Unix. C'est sa force mais aussi sa faiblesse si l'utilisateur n'acquière des notions tels que les comptes utilisateurs et la hiérarchie des droits.

Par exemple, encore beaucoup trop parmi les gens qui ont connu le vieux MacOS, ne comprennent toujours pas qu'il faut un vrai mot de passe administrateur et pas un espace vide. D'autres qu'en entrant à l'installation d'une application leur mot de passe, ce sont toutes les portes de leur OS qu'ils ouvrent, qu'il vaut mieux créer et utiliser un compte standard au quotidien et laisser le compte avec droits administrateurs à sa fonction d'administration.

Qu'importe le système, c'est par la connaissance qu'on se sécurise.

CONNEXION UTILISATEUR