Nouveau malware sur OS X : OSX/Keydnap détrousse le Trousseau d'accès
Faut-il y voir la rançon du succès des Mac ? Toujours est-il qu’OSX/Keydnap est le deuxième malware de la semaine sur OS X, après Backdoor.MAC.Eleanor. Découvert par ESET, ce nouveau logiciel malveillant est pour le moment d’origine inconnue, mais on connait son mode de fonctionnement.
Téléchargé en pièce jointe ou depuis un site interlope, Keydnap se présente sous une forme bien innocente : une archive ZIP qui contient ce qui ressemble à une image (.jpg) ou un document texte (.txt). Sauf que le suffixe du document contient une espace, ce qui lance un Terminal, et non Aperçu ou TextEdit comme on peut s’y attendre.
En cliquant sur le document, un mécanisme se met en place qui fait prendre des vessies pour des lanternes. L’application attendue s’ouvre et présente le document qui va bien… sauf que dans l’intervalle, le fichier aura ouvert un Terminal (l’icône du Terminal apparait brièvement dans le dock avant d’être remplacée par celle de l’application standard). Une fois l’exécutable lancé, Gatekeeper prévient que le fichier provient d’un développeur non enregistré et qu’il ne peut pas ouvrir le document :
Ce message d’alerte intervient si et seulement si Gatekeeper n’autorise que les applications provenant du Mac App Store et des développeurs identifiés. Sur OS X El Capitan, on peut choisir de lancer une app téléchargée depuis « n’importe où », mais plus sous macOS Sierra.
Une fois lancé, le malware crée une porte dérobée et remplace le contenu de l’exécutable par un leurre téléchargé sur internet ou intégré dans le code du logiciel malveillant — il peut s’agir du document effectivement attendu, comme une image :
La porte dérobée créée par Keydnap est persistante, même si on multiplie les redémarrages du Mac. Il demandera aussi le mot de passe de la session, déguisé sous la forme d’icloudsyncd. Une fois en possession de cette information, il transforme le Mac en open-bar : l’objectif du malware est de récupérer les informations du Trousseau d’accès, qui contient les identifiants et mots de passe de vos logiciels et services en ligne.
À la lumière de cette nouvelle affaire, on comprend mieux pourquoi Apple exige maintenant des logiciels signés sur macOS Sierra.
Il me semble que Safari ouvre automatiquement les téléchargements au format zip.
Seulement si la case "Ouvrir automatiquement les fichiers fiables" est cochée dans les préférences du navigateur.
Ce qu'elle est par défaut dans Safari mais je n'espère plus qu'Apple change cela depuis longtemps.
@moon :
Merci de la précision : je viens de décocher la case.
Mais si on a choisi d'ouvrir seulement les app de l'App Store et des dév identifiés, il ne peut pas s'exécuter (à moins de l'ouvrir via un clique droit, puis cliquer à nouveau sur "Ouvrir)?
Ce qui n'est pas admissible (et je n'arrête pas de sermonner les programmeurs dans ma boîte à ce sujet) c'est de tolérer que des informations déterminantes (telles qu'un nom de fichier, donc son extension) puissent commencer ou se terminer par des espaces. Ici, c'est la faute de l'OS.
Il faut FILTRER. Espaces inutiles (en début ou fin de strings), caractères spéciaux, etc.
Essayez: vous pouvez créer un dossier (un fichier) sans nom, ou dont le nom est [espace], ou [espace][espace], etc. Ça ne devrait pas être autorisé.
Les règles de nommage n'est pas le problème.
Le problème c'est de faire confiance à une convention de nommage (le contenant) pour se permettre d'afficher à l'utilisateur le type de contenu sous une forme qui flatte l'oeil (icone image jpeg) mais totalement fausse.
Alors même qu'il y a également des mécanismes plus sérieux qui consultent le *contenu* uniquement pour se décider (comme l'Inspecteur le fait pour déterminer le "Kind" du fichier).
L'espace ici n'est pas utilisé pour court-circuiter un mécanisme de protection au runtime mais pour tromper le code du Finder pour afficher l'icône trompeuse et ainsi se déguiser grâce à la légéreté de l'OS sur ce point aux yeux de l'utilisateur.
Dans le cas où ce fichier n'arrive pas sur le mac via un téléchargement, il n'est pas mis en quarantaine, et le "déguisement" trompe alors n'importe qui sauf les plus paranoiaques.
Et bien Apple fera un correctif pour que l'espace ne puisse plus tromper sur le nom de l'extension et tout rentrera dans l'ordre. En attendant, Gatekeeper et quarantine font leur travail et l'utilisateur ne doit pas relâcher sa vigilance.
@ byte_order
Je veux bien, mais la question est : pourquoi autoriser le caractère espace en début ou en fin d'un nom de fichier ? Pour que madame Dugenou puisse l'avoir en début de liste parce qu'elle ne sait même pas trier ou qu'elle a la flemme ? À quoi ça sert ?
Pourquoi autoriser de créer des dossiers ou fichiers sans nom ? Pour que l'OS puisse à l'occasion afficher une alerte du genre "Voulez-vous remplacer le fichier par le fichier " ? À quoi ça sert ?
Ce qui est sûr, c'est qu'avec un minimum de rigueur, ce bug ne se serait pas produit....
Quelqu'un sait comment le virus fait pour l'icône ? C'est dans les meta données? En tout cas, je n'y crois pas au finder qui croit que c'est une image...
Pour Gatekeeper, le bouton "ouvrir quand même" ne marche jamais quand j'en ai besoin. Obligé de le désactiver...
Après lecture de cet article il m'est impossible de me déconnecter du site dont je gère la connexion avec le trousseau. Premère fois que ça m'arrive. Vous voulez nous faire peur MacG ?
Je confirme : strictement impossible de me déconnecter de MacG
Hier, j'y étais parvenu en vidant le cache et/ou en supprimant mes identifiants du site dans le trousseau, mais maintenant nada !
Vous avez un problème car je ne rencontre pas ce blocage sur d'autres sites.
Je suis peut être très bête mais si le Mac lance le terminal c'est qu'il reconnaît le fichier comme du code et non comme une image..? Non??? Alors pourquoi ce système soit disant si performant s'affiche comme un jpeg et non comme du fichier code?
Parce que ok l'humain a toujours tord... C'est facile (c'est comme la blague du meutre dans un ascenseur avec le père noël, une blonde intelligente, un enfant, et un cadavre... ) vu qu'il n'y que lui qui peut "agir" mais là tout de même je trouve qu'il y'a une grosse faille système surtout juste pour un espace... ( ou peut être j'ai rien compris au truc...)
@NerdForever :
En gros le "preview" devrait forcément être en rapport avec le "open with" comme sur ... ( attention je vais le faire taper sur les doigts...) les PC Windows ... Où l'icône change carrément en fonction de l'appli par défaut...
@NerdForever :
Ce truc est une Application en vérité. Et tu n'as jamais remarqué que les développeurs d'App peuvent définir une icône pour leur App, ce qui te permet de distinguer TextEdit de Preview ? Ne se pourrait-il donc pas que le dev ait vicieusement utilisé une icône d'image génétique ??
Nan, pour certains et leurs préjugés tout est forcément de la faute du grand méchant Apple.
Ou bien, comme le dit Link1993 ci-dessous, l'icône a juste été fixée via la fenêtre d'info du Finder. Comme le machin est emballé dans une archive .zip, l'icône est conservée par les téléchargements.
Il est tres simple sur mac de remplacer l'image d'une icône. Ouvrez "obtenir les informations", clicker sur l'image, et faite un cmd v d'une image copier avant.
Comme c'est un exécutable , le Finder affiche l'icône de l'executable puisque il n'y a pas de quick look de dispo (comparer un quick look d'une image, et d'une application)
C'est par la méthode d'obtenir les infos que l'on peut changer l'icône d'un dossier par exemple, d'une application ou même d'un Apple script.
Est-ce que antimalwarebytes détecte le bestiau?
antimalwarebytes je ne sais pas, déjà je n'ai trouvé que malwarebytes qui est pour PC, mais d'autres anti-virus qui ne prétendent pas comme malwarebytes faire ce que les AV ne font pas, détectent avec des vaccins à jour les deux merdes qui sont arrivées cette semaine.
Antimalwarebytes existe bien pour Mac:https://www.malwarebytes.com/mwb-download/
Mais ça ne répond pas à la question.
@marc_os :
Si j'ai bien compris le gentil message de link1993 mais ce que j'explique reste valable....
alors en détail pour toi:
Un exécutable devrait de toute manière avoir un affichage différent. Avec un sigle commun en bas à droite par exemple pour tous les exécutables...
A moins par exemple d'un logiciel certifié/obtenue par l'app store...
Ce mini logo collé sur le preview ne serait pas accessible par le codage mais définit par le système et ça serait même super pratique d'avoir toujours en miniature sur chaque fichier le rappel de l'appli associé...
Au choix de l'utilisateur de masquer ou pas cette surcouche dans les paramètres systèmes, à la rigueur, pour contenter tout le monde...
@ NerdForever
Il ne te reste plus qu'à faire cette proposition à Apple, Microsoft, Google, Mandrake, Ubuntu, ....
Pages