Nouveau malware sur OS X : OSX/Keydnap détrousse le Trousseau d'accès

Mickaël Bazoge |

Faut-il y voir la rançon du succès des Mac ? Toujours est-il qu’OSX/Keydnap est le deuxième malware de la semaine sur OS X, après Backdoor.MAC.Eleanor. Découvert par ESET, ce nouveau logiciel malveillant est pour le moment d’origine inconnue, mais on connait son mode de fonctionnement.

Téléchargé en pièce jointe ou depuis un site interlope, Keydnap se présente sous une forme bien innocente : une archive ZIP qui contient ce qui ressemble à une image (.jpg) ou un document texte (.txt). Sauf que le suffixe du document contient une espace, ce qui lance un Terminal, et non Aperçu ou TextEdit comme on peut s’y attendre.

En cliquant sur le document, un mécanisme se met en place qui fait prendre des vessies pour des lanternes. L’application attendue s’ouvre et présente le document qui va bien… sauf que dans l’intervalle, le fichier aura ouvert un Terminal (l’icône du Terminal apparait brièvement dans le dock avant d’être remplacée par celle de l’application standard). Une fois l’exécutable lancé, Gatekeeper prévient que le fichier provient d’un développeur non enregistré et qu’il ne peut pas ouvrir le document :

Ce message d’alerte intervient si et seulement si Gatekeeper n’autorise que les applications provenant du Mac App Store et des développeurs identifiés. Sur OS X El Capitan, on peut choisir de lancer une app téléchargée depuis « n’importe où », mais plus sous macOS Sierra.

Une fois lancé, le malware crée une porte dérobée et remplace le contenu de l’exécutable par un leurre téléchargé sur internet ou intégré dans le code du logiciel malveillant — il peut s’agir du document effectivement attendu, comme une image :

La porte dérobée créée par Keydnap est persistante, même si on multiplie les redémarrages du Mac. Il demandera aussi le mot de passe de la session, déguisé sous la forme d’icloudsyncd. Une fois en possession de cette information, il transforme le Mac en open-bar : l’objectif du malware est de récupérer les informations du Trousseau d’accès, qui contient les identifiants et mots de passe de vos logiciels et services en ligne.

À la lumière de cette nouvelle affaire, on comprend mieux pourquoi Apple exige maintenant des logiciels signés sur macOS Sierra.

avatar Irandal | 

Et comment vérifier si on a ce genre de bestioles sur sa machine ? :)

avatar le ratiocineur masqué | 

T'as qu'a pas ouvrir des images "douteuses" envoyées par des gens que tu connais pas.

avatar BitNic | 

Pas terrible ta remarque.
Parce que si c'est par tonton Roger ou tata Simone que tu connais très bien... hein tu fais koilà !
Bon d'accord par principe je n'ouvre jamais rien de ce qui vient de tonton et tata car ils n'y connaissent rien et véhiculent souvent sans s'en rendre compte des merdes.

avatar le ratiocineur masqué | 

"Pas terrible ta remarque.
Parce que si c'est par tonton Roger ou tata Simone que tu connais très bien... hein tu fais koilà"

Je lui envoi un mail de réponse avec l'image en question en pièce jointe.

avatar MaamuT | 

Et pourtant, 100% des saloperies de ce genre que je reçois provienne d'un expéditeur inconnu, contiennent un sujet opaque ET imbitable (quand il y'en à un), et une pièce jointe avec (au moins) deux extensions, ce qui, pour la plupart des personnes un peu attentives est très clairement le signe d'un truc anormal.

Bizarrement, je n'ai jamais été infesté, c'est dingue non ?

En même temps, j'ai toujours immédiatement poubélisé ces machins aussi, ceci expliquant peut être cela.

Après, pour le reste, Darwin, sélection naturelle, tout ça hm !

avatar rolmeyer | 

@Yoskiz :
Bien sûr que si plein sous iOS mais iOS jailbreaké. Désactiver gatekeeper et télécharger des merdes sur les sites de piratage porno ventes de produits illicites revient à jailbreaker sont mac.

avatar BitNic | 

"télécharger des merdes sur les sites de piratage porno"

Quoi ? On ne peut plus aller sur YouPornn sans y attraper la chtouille... c'est dur la vie !

avatar dguillet | 

En effet plutôt vicieux comme stratagème.

Reste qu'il faut là encore une action de l'utilisateur à savoir une tentative d'ouverture du fichier.

Il faut donc rappeler qu'il ne faut ouvrir les pièces jointes que si elle proviennent de sources que l'on connait et que l'on a sollicité cette pièce jointe. Dans le doute et bien on contacte la personne pour lui demander si c'est bien elle qui est à l'origine de la pièce jointe.

avatar frankm | 

@dguillet :
Et surtout ne pas donner son mot de passe quand on pensait ouvrir une image

avatar BitNic | 

Ni ses clés de domicile à n'importe qui dans la rue ?

avatar r e m y | 

@irandal
J'imagine qu'il faut regarder dans le moniteur d'activité si le processus icloudsyncd tourne en tâche de fond.

avatar r e m y | 

Nicolas?
Tu nous expliques comment tu l'as éradiqué celui-ci?

avatar r e m y | 

ah oui! j'avais pas vu...
Le MacBook Pro devait appartenir à un policier américain!

avatar fousfous | 

Bah je vois pas le problème... Tant qu'on ne contourne pas les sécurité de son Mac il n'y a plus de problèmes...

avatar Mr Bob | 

Interlope toi-même.

avatar r e m y | 

@fousfous
Le probleme c'est qu'on est parfois amené à les contourner ces sécurités.
Tous les développeurs ne souhaitent pas nécessairement s'enregistrer auprès d'Apple pour être identifiés par GateKeeper (c'est pas donné la cotisation annuelle.... et des petits développeurs produisant des utilitaires open source mis à dispo gratuitement ne peuvent pas rentabiliser cet investissement)
Des outils tels que Remux, Subler (pour en citer 2 que j'ai installés récemment) nécessitent de by-passer GateKeeper pour être utilisés.

(De plus on a vu récemment que la signature d'un développeur enregistré officiellement peut être dérobée pour berner GateKeeper)

avatar fousfous | 

@r e m y :
Il me semble qu'il n'y a pas tant que ça besoin de s'enregistrer et de cotiser quand c'est juste un enregistrement pour gatekeeper

avatar byte_order | 

Pour signer ses applications, il faut obtenir un certificat auprès d'Apple, et pour ça il faut avoir un compte Developer ID.

Et c'est 99$ par an, un compte Developer ID, que vous publiez sur les Store ou pas.

avatar rolmeyer | 

@r e m y :
Non mais le Bullshit !!! Sérieux j'en ai des apps sur le Mac, et celles où tu dois désactiver gatekeeper ben tu les connais et tu sais ce que tu fais. Désactiver gatekeeper pour dezipper ou ouvrir un jpeg ..... Mouarf. Franchement bravo à macgé pour signaler la news mais honte pour la façon dont c'est rédigé, on dirait macbidouille. Macbidouille c'est devenu oouuuuhh Windows faille zéro day faille zéro day faille zéro day ils n'ont que ca à la bouche. Sur Windows comme sur Mac la faille c'est l'utilisateur dans 90 % des cas.

avatar pat3 | 

@rolmeyer :
T'es encore sur MacBidouille?

avatar pifpaf | 

Macbidouille donne la solution dans ce cas, comme dans d'autres d'ailleurs.......quoique pour certains c'est peine perdue.

avatar Moonwalker | 

Et bien on fait comme avant Gatekeeper, on se renseigne sur la chose avant de l'installer.

Rappel aussi : Gatekeeper est bien mais ce n'est pas une assurance tout risque. Ce n'est qu'un outil de sécurité parmi d'autres.

Le faux Transmission avait un certificat valable dans les premières heures de sa diffusion. L'alerte déclenchée, Gatekeeper lui a coupé les pieds mais quelques uns sont tombés dans le panneau.

La seule défense, c'est la vigilance de tous les instants.

Pages

CONNEXION UTILISATEUR