Une attaque par déni de service bloquée par macOS 10.12.2

Mickaël Bazoge |

L’année 2017 est à peine entamée que déjà, on fait la connaissance d’un nouveau logiciel indélicat. Malwarebytes a débusqué un malware qui cible spécifiquement les Mac par le biais d’une attaque par déni de service. Le mode opératoire de ce malandrin consiste à multiplier les brouillons de courriels dans Mail, jusqu’à ce que le Mac plante faute de RAM.

L’objectif ici est de forcer l’utilisateur à appeler un service technique bidon. Pour mieux se faire truander par la suite… Une méthode en vigueur sur Windows, mais qui est assez inédite sur notre plateforme.

Cliquer pour agrandir

L’utilisateur qui reçoit un e-mail provenant soit de dean.jones9875@gmail.com, soit de amannn.2917@gmail.com doit supprimer le message immédiatement. Le courrier est en effet susceptible de contenir un lien qui mène tout droit vers le malware en question. Dans Mail, on peut créer une règle afin de jeter automatiquement tout message envoyé par ces deux adresses. Parmi les sites web hébergeant le logiciel filou, méfiez-vous tout particulièrement des URL suivantes :

Les chercheurs en sécurité de Malwarebytes indiquent cependant, et c’est un soulagement, que les ordinateurs fonctionnant sous macOS 10.12.2 ne sont pas concernés par cette attaque : Safari détecte immédiatement la tentative du malware de lancer Mail, puis la bloque.

Pour aller plus loin :
Source
avatar Zefram | 

Merci pour l'info. Et pour les Macs bloqués à El Capitan il se passe quoi ?

avatar lohez | 

@Zefram

Ils resteront bloqués à El Capitan, vient de me dire Frederighi.

avatar C1rc3@0rc | 

Faut passer a Linux ou a Windows!

avatar MacisDead | 

C'est de votre faute, rachetez un nouveau Mac ultra slim fast.

avatar Malouin | 

@MacisDead

Trop nul... ce genre de troll n'a rien à faire ici !

avatar Zefram | 

Je reformule ma question qui n'est pas suffisamment explicite pour certains. Est-ce qu'un Mac sous El Capitan avec la dernière mise à jour de sécurité est vulnérable à ce malware ? Merci

avatar r e m y | 

@Zefram

D'après MalwareBytes, seul Sierra bloque la tentative d'action de ce malware.

avatar Nom d'utilisateur | 

On dit merci au des ??

avatar Leodaggan | 

Il y a encore des gens qui ouvrent les mail d expéditeur inconnu?

avatar Bigdidou | 

@Leodaggan
"Il y a encore des gens qui ouvrent les mail d expéditeur inconnu?"

Apparemment.
Je ne comprends pas non plus. Moi, je n'ouvre que les mails de ma grand mère.
De toute façon, j'aime pas les inconnus. Ils font rien que me demander de faire du travail que j'ai pas envie de faire.

avatar Paquito06 | 

Ca me fait penser aux pop up sous Safari provenant d'une meme page, une fois ca va mais apres on a un message de Safari qui propose de tour bloquer. Efficace.

avatar servir | 

Il y avait le mail bombing
Un mail qui comprenait
une archive compressée à ouverture automatique
dans celle-ci
douze archives compressées à ouverture automatique
Dans chacune de ces archives
douze archives compressées à ouverture automatique
etc..
Avec un document d'une taille raisonnable (nous étions en 512k)
le disque était vite saturé et mail rendait l'âme
(Ca se fabriquait vite fait avec cmd+c suivi de cmd+v
Aujourd'hui, les fouteurs de me-de ont des outils bien plus performants

avatar logus210 | 

Ouais bref les virus et autres malwares c'est pour tout le monde, Mac ou PC. Pour faire suite à une analyse d'hier ou avant sur le relatif avanage du mac en ce domaine...

avatar ecosmeri | 

Il y a t'il d'autre moyen que d'utiliser des logiciel type malwarebytes pour les detecter? Car je ne fait pas confiance a ces logiciels

avatar r e m y | 

@ecosmeri

Oui... surveiller le fonctionnement de son Mac pour détecter des comportements anormaux.
Par contre, pour les éradiquer, l'antimalware de MalwareBytes est le plus efficace, suivi de près par EtreCheck. (Ces 2 utilitaires, sont curatifs en etant mis à jour en permanence pour supprimer les malwares connus)

avatar ecosmeri | 

@r e m y

Merci Remy.

avatar 0MiguelAnge0 | 

Mais il faut aussi cliquer sur un lien ou...?

avatar r e m y | 

@0MiguelAnge0

Oui il faut cliquer sur le lien recu par mail... mais c'est quand même courant quand tu utilises le mail professionnellement, de recevoir des emails d'inconnus (des nouveaux clients potentiels, on ne va pas les jeter sous prétexte que leur email ne figure pas encore dans notre carnet d'adresse!) avec parfois des liens (des pièces jointes volumineuses déposées en ligne plutôt que jointe au mail).

avatar Philactere | 

@r e m y :
En general en milieu professionnel quant on reçoit des liens vers des fichiers lourds à télécharger les conditions suivantes sont remplies :
-Expéditeur connu.
-Mail faisant mention d'un projet connu.
- Présentation du fichier en lien.
- Souvent même le fichier en lien est attendu.
Bon peut-être qu'il y a des situations réelles où aucune des conditions ci-dessus ne sont remplies ? Perso ca ne m'est jamais arrivé.

Par contre je revois régulièrement du spam d'un expéditeur connu , MOI !
Et je m'étonnes toujours que des boîtes à spam pensent que quelqu'un recevant un mail de lui même puisse lui accorder la moindre valeur !

avatar Avenger | 

@ r e m y

J'ai toujours donné comme consigne, à mes clients, qu'ils soient pro ou privés, qu'au moindre doute concernant un email comportant un lien ou une pièce jointe, c'est direction poubelle!

Et les doutes sont faciles à identifier:
- message impersonnel ne faisant, à aucun moment, référence à l'activité précise de l'entreprise
- message succinct ne donnant aucune précision quand à la pièce jointe ou au lien indiqué
- pièce jointe en zip, pour soi-disant factures, documents de livraison non attendus
- lien vers des services inconnus
- Etc.

Si c'est vraiment important et que l'expéditeur est de confiance, il donnera un coup de fil ou renverra un email, différent du premier, afin d'être renseigné sur le suivi.

avatar rolmeyer (non vérifié) | 

@Avenger

Et les mails douteux on peut les ouvrir sur une tablette dédiée. Je parle Pro là. Un vieil iPad mini pour la secrétaire qui fait le tri dans un cas de doute. Y a quand même des moyens pas chers. Voir un Chromebook dédié. C'est réinitialisé en moins de deux un Chrome Book. Franchement les mecs qui font encore du mail sur une machine de production importante .....

CONNEXION UTILISATEUR