Nouveau malware sur OS X : OSX/Keydnap détrousse le Trousseau d'accès

Mickaël Bazoge |

Faut-il y voir la rançon du succès des Mac ? Toujours est-il qu’OSX/Keydnap est le deuxième malware de la semaine sur OS X, après Backdoor.MAC.Eleanor. Découvert par ESET, ce nouveau logiciel malveillant est pour le moment d’origine inconnue, mais on connait son mode de fonctionnement.

Téléchargé en pièce jointe ou depuis un site interlope, Keydnap se présente sous une forme bien innocente : une archive ZIP qui contient ce qui ressemble à une image (.jpg) ou un document texte (.txt). Sauf que le suffixe du document contient une espace, ce qui lance un Terminal, et non Aperçu ou TextEdit comme on peut s’y attendre.

En cliquant sur le document, un mécanisme se met en place qui fait prendre des vessies pour des lanternes. L’application attendue s’ouvre et présente le document qui va bien… sauf que dans l’intervalle, le fichier aura ouvert un Terminal (l’icône du Terminal apparait brièvement dans le dock avant d’être remplacée par celle de l’application standard). Une fois l’exécutable lancé, Gatekeeper prévient que le fichier provient d’un développeur non enregistré et qu’il ne peut pas ouvrir le document :

Ce message d’alerte intervient si et seulement si Gatekeeper n’autorise que les applications provenant du Mac App Store et des développeurs identifiés. Sur OS X El Capitan, on peut choisir de lancer une app téléchargée depuis « n’importe où », mais plus sous macOS Sierra.

Une fois lancé, le malware crée une porte dérobée et remplace le contenu de l’exécutable par un leurre téléchargé sur internet ou intégré dans le code du logiciel malveillant — il peut s’agir du document effectivement attendu, comme une image :

La porte dérobée créée par Keydnap est persistante, même si on multiplie les redémarrages du Mac. Il demandera aussi le mot de passe de la session, déguisé sous la forme d’icloudsyncd. Une fois en possession de cette information, il transforme le Mac en open-bar : l’objectif du malware est de récupérer les informations du Trousseau d’accès, qui contient les identifiants et mots de passe de vos logiciels et services en ligne.

À la lumière de cette nouvelle affaire, on comprend mieux pourquoi Apple exige maintenant des logiciels signés sur macOS Sierra.

avatar Irandal | 

Et comment vérifier si on a ce genre de bestioles sur sa machine ? :)

avatar le ratiocineur masqué | 

T'as qu'a pas ouvrir des images "douteuses" envoyées par des gens que tu connais pas.

avatar BitNic | 

Pas terrible ta remarque.
Parce que si c'est par tonton Roger ou tata Simone que tu connais très bien... hein tu fais koilà !
Bon d'accord par principe je n'ouvre jamais rien de ce qui vient de tonton et tata car ils n'y connaissent rien et véhiculent souvent sans s'en rendre compte des merdes.

avatar le ratiocineur masqué | 

"Pas terrible ta remarque.
Parce que si c'est par tonton Roger ou tata Simone que tu connais très bien... hein tu fais koilà"

Je lui envoi un mail de réponse avec l'image en question en pièce jointe.

avatar MaamuT | 

Et pourtant, 100% des saloperies de ce genre que je reçois provienne d'un expéditeur inconnu, contiennent un sujet opaque ET imbitable (quand il y'en à un), et une pièce jointe avec (au moins) deux extensions, ce qui, pour la plupart des personnes un peu attentives est très clairement le signe d'un truc anormal.

Bizarrement, je n'ai jamais été infesté, c'est dingue non ?

En même temps, j'ai toujours immédiatement poubélisé ces machins aussi, ceci expliquant peut être cela.

Après, pour le reste, Darwin, sélection naturelle, tout ça hm !

avatar rolmeyer (non vérifié) | 

@Yoskiz :
Bien sûr que si plein sous iOS mais iOS jailbreaké. Désactiver gatekeeper et télécharger des merdes sur les sites de piratage porno ventes de produits illicites revient à jailbreaker sont mac.

avatar BitNic | 

"télécharger des merdes sur les sites de piratage porno"

Quoi ? On ne peut plus aller sur YouPornn sans y attraper la chtouille... c'est dur la vie !

avatar dguillet | 

En effet plutôt vicieux comme stratagème.

Reste qu'il faut là encore une action de l'utilisateur à savoir une tentative d'ouverture du fichier.

Il faut donc rappeler qu'il ne faut ouvrir les pièces jointes que si elle proviennent de sources que l'on connait et que l'on a sollicité cette pièce jointe. Dans le doute et bien on contacte la personne pour lui demander si c'est bien elle qui est à l'origine de la pièce jointe.

avatar frankm | 

@dguillet :
Et surtout ne pas donner son mot de passe quand on pensait ouvrir une image

avatar BitNic | 

Ni ses clés de domicile à n'importe qui dans la rue ?

avatar r e m y | 

@irandal
J'imagine qu'il faut regarder dans le moniteur d'activité si le processus icloudsyncd tourne en tâche de fond.

avatar r e m y | 

Nicolas?
Tu nous expliques comment tu l'as éradiqué celui-ci?

avatar r e m y | 

ah oui! j'avais pas vu...
Le MacBook Pro devait appartenir à un policier américain!

avatar fousfous | 

Bah je vois pas le problème... Tant qu'on ne contourne pas les sécurité de son Mac il n'y a plus de problèmes...

avatar Mr Bob | 

Interlope toi-même.

avatar r e m y | 

@fousfous
Le probleme c'est qu'on est parfois amené à les contourner ces sécurités.
Tous les développeurs ne souhaitent pas nécessairement s'enregistrer auprès d'Apple pour être identifiés par GateKeeper (c'est pas donné la cotisation annuelle.... et des petits développeurs produisant des utilitaires open source mis à dispo gratuitement ne peuvent pas rentabiliser cet investissement)
Des outils tels que Remux, Subler (pour en citer 2 que j'ai installés récemment) nécessitent de by-passer GateKeeper pour être utilisés.

(De plus on a vu récemment que la signature d'un développeur enregistré officiellement peut être dérobée pour berner GateKeeper)

avatar fousfous | 

@r e m y :
Il me semble qu'il n'y a pas tant que ça besoin de s'enregistrer et de cotiser quand c'est juste un enregistrement pour gatekeeper

avatar byte_order | 

Pour signer ses applications, il faut obtenir un certificat auprès d'Apple, et pour ça il faut avoir un compte Developer ID.

Et c'est 99$ par an, un compte Developer ID, que vous publiez sur les Store ou pas.

avatar rolmeyer (non vérifié) | 

@r e m y :
Non mais le Bullshit !!! Sérieux j'en ai des apps sur le Mac, et celles où tu dois désactiver gatekeeper ben tu les connais et tu sais ce que tu fais. Désactiver gatekeeper pour dezipper ou ouvrir un jpeg ..... Mouarf. Franchement bravo à macgé pour signaler la news mais honte pour la façon dont c'est rédigé, on dirait macbidouille. Macbidouille c'est devenu oouuuuhh Windows faille zéro day faille zéro day faille zéro day ils n'ont que ca à la bouche. Sur Windows comme sur Mac la faille c'est l'utilisateur dans 90 % des cas.

avatar pat3 | 

@rolmeyer :
T'es encore sur MacBidouille?

avatar pifpaf | 

Macbidouille donne la solution dans ce cas, comme dans d'autres d'ailleurs.......quoique pour certains c'est peine perdue.

avatar Moonwalker | 

Et bien on fait comme avant Gatekeeper, on se renseigne sur la chose avant de l'installer.

Rappel aussi : Gatekeeper est bien mais ce n'est pas une assurance tout risque. Ce n'est qu'un outil de sécurité parmi d'autres.

Le faux Transmission avait un certificat valable dans les premières heures de sa diffusion. L'alerte déclenchée, Gatekeeper lui a coupé les pieds mais quelques uns sont tombés dans le panneau.

La seule défense, c'est la vigilance de tous les instants.

avatar r e m y | 

Quoi qu'il en soit, le choix de Sierra de ne plus pouvoir inactiver complètement GateKeeper par defaut semble effectivement une bonne précaution.
On pourra toujours ouvrir volontairement certaines applications (en etant vigilant quand à leur origine) mais au moins une cochonnerie comme ce Keydnaper ne pourra pas être exécuté automatiquement....

avatar Hideyasu | 

Faut surtout ouvrir un screen (image) et faire les actions pour l'ouvrir comme une application, pour une image il y a pas besoin d'ouvrir le téléchargement d'app à tout le monde

avatar Yoskiz (non vérifié) | 

Personnellement je préfère utiliser 1Password... apparement je n'ai pas tord même si j'exagère un peu.
Il n'y a pas beaucoup de chance de croiser le route de cette cochonnerie.

avatar ziggyspider | 

@ Yoskiz
Je ne vois pas le rapport ... Et une fois le mot de passe du trousseau dévoilé, le margoulin à accès au mot de passe maître de 1Password comme et à tous les autres !

avatar Xap | 

@ziggyspider :

Alors celui qui enregistre son mot de passe 1password dans le trousseau, il est vraiment mais alors vraiment très très con!

C'est comme avoir une porte blindée et laisser la clé dans la serrure... bravo sherlock!

avatar kubernan | 

1P est un logiciel comme un autre. S'il bénéficie d'une large audience alors il sera peut-être attaqué un jour ou l'autre.

avatar Yoskiz (non vérifié) | 

@kubernan :
Possible oui...

avatar PierreBondurant | 

@Yoskiz :
Meme conclusion.
Tout dans 1Password.
Pour voler mes mots de passe, Il faudrait à la fois un accès dérobé au Mac casser les cryptages de 1Password.
Je ne dis pas que c'est impossible mais ca limite les chances. Et surtout les gens capables de ca, je pense pas que je les intéresse!

avatar Yoskiz (non vérifié) | 

@PierreBondurant :
Effectivement aucun système n'est inviolable mais quand même c'est dissuasif.
Sans là mot de passe maître c'est quasiment impossible.

avatar r e m y | 

@ziggyspider
Le mot de passe maître de 1Password n'est pas enregistré dans le trousseau d'accès (en tous cas, chez moi il ne l'est pas)

Par contre, un keylogger pourra facilement intercepter la frappe de ce mot de passe...

avatar IRONMAN65 | 

C'est quoi un site interlope ?

avatar mac_adam | 

Un site avec beaucoup d'interactions tactiles entre les parties prenantes.

avatar r e m y | 

@ironman

Y a "Internet" et "Inter-pas net" également appelé "Interlope".

avatar h-de-pierre | 

Est-ce qu'un anti-virus aurait pu signaler ça ?

avatar rolmeyer (non vérifié) | 

@h-de-pierre :
C'est PAS un virus. C'est un truc où le Mac te dit qu'il ne faut PAS le faire et le gars le fait quand même. Le virus est derrière le clavier pas ds le Mac. Désactiver de façon permanente gatekeeper c'est balancer sa CB dans la foule avec le code.

avatar byte_order | 

J'aimerais que vous ayez la même exigence envers les développeurs du Finder qui, eux, trouvent logique de faire confiance à l'extension du nom de fichier pour choisir d'afficher comme icone celle utilisée habituellement pour les photos.

Entre le clavier et l'écran, y'a pas que l'utilisateur. Y'a aussi les développeurs des logiciels fournis à l'utilisateur.

Enfin j'ignorais que seuls les virus échappant à la surveillance du système d'exploitation méritaient d'être appelés "virus"... Avec l'utilisateur, qui, évidement, est toujours fautif de tout, jamais les développeurs, jamais les designers, jamais les vendeurs, les marchands, non, jamais.

avatar Moonwalker | 

Déjà, si cela affiche l'icône d'un jpg au lieu d'un aperçu c'est suspect.

Mais pour comprendre cela, il faut utiliser OS X au quotidien.

avatar Jeff06am | 

Moi je suis sous OS X El Capitan et je n'arrive plus du tout à refermer le trousseau avec le mot de passe administrateur. J'espère que ce n'est pas un malware !

avatar rolmeyer (non vérifié) | 

Putainnnn tu ouvres un jpeg et on te dit que ca vient d'un développeur non identifié .... Et les gars continuent quand même .... C'est pas un malware c'est un éliminateur de cons.

avatar r e m y | 

@rolmeyer
Tu n'as pas compris je crois...
Si GateKeeper est configuré pour n'accepter que les apps du store et des développeurs identifiés, il bloque l'exécution.
Si GateKeeper est configuré pour tout accepter, il ne bloque rien et on ne voit pas qu'un exécutable s'est lancé.

avatar Moonwalker | 

Et bien, il suffit de ne pas modifier les réglages de Gatekeeper.

Comme dans macOS Sierra…

Ah! Non, il paraît que le mal c'est Apple qui nous enferme sous prétexte de sécurité.

avatar zoubi2 | 

Quand-même, un .jpg considéré comme un exécutable Unix à ouvrir avec le Terminal (à cause de l'espace invisible) ==> méfiance, non ?

Je débloque ?

avatar byte_order | 

Qui ouvre systématiquement le panneau de l'inspecteur sur un fichier image avant de double-cliquer dessus ?
Soyons honnète, qui n'a jamais double cliquer à la simple vue de l'icone en se disant "oh y'a une image..." ?

avatar b0ris | 

@byte_order :
Non, franchement... Quel est le demeuré qui va déjà ouvrir un zip inconnu et ensuite essayer d'ouvrir une image qui apparement n'a même pas d'aperçu ?

avatar Moonwalker | 

byte_order ?

Pages

CONNEXION UTILISATEUR