Fermer le menu
 

OSX/MaMi, un malware à tout faire qui vise les Mac

Mickaël Bazoge | | 07:39 |  30

Un nouveau malware visant macOS circule actuellement. D'abord repéré sur les forums de Malwarebytes puis analysé en détail par Patrick Wardle, OSX/MaMi modifie les réglages DNS sur les ordinateurs infectés. L'utilisateur des forums a constaté que sur le Mac d'un ami professeur, les adresses DNS avaient été changées (82.163.143.135 et 82.163.142.137). Même en les supprimant, celles-ci reviennent à la charge.

Cliquer pour agrandir

Ce malware installe en fait un certificat root qui lui permet de détourner les adresses DNS du Mac ; le petit malin a ensuite tout loisir de s'adonner à des attaques man-in-the-middle : vol d'identifiants, affichage inopiné de publicité, installation en douce de scripts de minage de cryptomonnaies…

OSX/MaMi est également susceptible de prendre des captures écran, simuler des actions avec le curseur de la souris, lancer un item, télécharger et téléverser des fichiers, exécuter des commandes. La plupart de ces méfaits ne sont cependant pas actifs dans la version 1.1.0 du malware en circulation.

Selon Patrick Wardle, ce malware n'est « pas particulièrement avancé », mais il peut altérer le système infecté d'une manière persistante et profonde. Le spécialiste ne sait pas dire comment l'infection se propage, mais il s'agit sans doute des vecteurs classiques : pièce-jointe dans un courriel, fausses fenêtres pop-up d'alerte, ingénierie sociale. Plus que jamais, la vigilance est de rigueur.

Pour savoir si son Mac est touché, rendez-vous dans les préférences système > Réseau > Avancé > DNS. Avec la publicité faite autour de ce nouveau malware, les outils de protection ne vont pas tarder à se mettre à jour. Patrick Wardle propose de son côté LuLu, un firewall open-source pour macOS en version alpha capable de bloquer les connexions sortantes inconnues.

Catégories: 
Tags : 

Les derniers dossiers

Ailleurs sur le Web


30 Commentaires Signaler un abus dans les commentaires

avatar Frodon 16/01/2018 - 07:43 via iGeneration pour iOS

Pas besoin d'aller chercher un firewall exotique en version alpha pour bloquer les connexions entrantes inconnues, LittleSnitch le fait depuis tres longtemps deja.

avatar AirForceTwo 16/01/2018 - 08:01

@Frodon

Non, vous confondez. Little Snitch ne gère que les connexion sortantes.

avatar huexley 16/01/2018 - 08:24

C'est une erreur dans l'article, Lulu gère bien les connexions sortantes comme LittleSnitch

"to block unknown outgoing connections"



avatar Stéphane Moussie macG 16/01/2018 - 11:30

@huexley : c'est rectifié, merci.

avatar Moonwalker 16/01/2018 - 15:55

Little Snitch gère les connexions entrantes et sortantes. Depuis la version 3 au moins.

avatar C1rc3@0rc 16/01/2018 - 20:51 (edité)

Il y a aussi Hands off http://www.oneperiodic.com/products/handsoff/ qui fait tres bien le travail.

Meme si les PDM du Mac ne progressent pas on va avoir invitablement de plus en plus de malware, surtout avec la multiplication des failles et bug qui pullulent tourjours plus dans les dernieres generations de MacOS. Le Mac sans virus et malware c'etait dans le passé, aujourd'hui un Mac est au moins aussi exposé qu'un PC Windows. Amere constatation, mais triste realité.

avatar C1rc3@0rc 16/01/2018 - 20:51

Il y a aussi Hands off http://www.oneperiodic.com/products/handsoff/ qui fait tres bien le travail.

Meme si les PDM du Mac ne progressent pas on va avoir invitablement de plus en plus de malware, surtout avec la multiplication des failles et bug qui pullulent tourjours plus dans les dernieres generations de MacOS. Le Mac sans virus et malware c'etait dans le passé, aujourd'hui un Mac est au moins aussi exposé qu'un PC Windows. Amere constatation, mais triste realité.



avatar Pipes Chapman 18/01/2018 - 14:42

c'est étonnant la perversion insidieuse de ce mec C1r3 bidule

ça laisse une impression de malsain ... on sent quelqu'un qui s'est bien fait flamer et qui ne peux quand même pas s'empêcher de distiller un venin qu'il a besoin de cracher pour on ne sait quelle insuffisance psychologique. brrrrr...

avatar irep 16/01/2018 - 09:32

Little Snitch bloque aussi les entrantes

avatar Changi 16/01/2018 - 10:12

Hand Off oui, pas Little Snitch.

avatar Moonwalker 16/01/2018 - 16:03

Si, Little Snitch le fait.

incoming and outgoing connexions.

https://help.obdev.at/littlesnitch/#/ref-connections

avatar glaglasven 16/01/2018 - 11:02 via iGeneration pour iOS

Et après on dit que Mac c'est sage 🤪

avatar Moonwalker 16/01/2018 - 16:03 (edité)

C’est l’utilisateur qui devrait faire preuve de sagesse, pas sa machine.

avatar javascript 16/01/2018 - 11:15

dit donc personne n'ai d'accord sur les firewalls, en tout cas il y en a forcement qui écrivent sans savoir et disent de la merde !

avatar h-de-pierre 16/01/2018 - 11:16

Et après MaMi , ce sera PaPi 😄

avatar rikki finefleur 16/01/2018 - 12:15

Il y a pas a dire l'informatique devient de plus en plus pourrie. Et une des raisons c'est que chaque grand editeur créé son petit programme (bien buggé) et nouveauté , te force a te faire des upgrades non désirés, cela concerne MS , apple qu'intel et bien d' autres..
Et avec cet enfoiré de cloud il te laisse plus le choix . Beurk.

C'est l'emprise de constructeurs buggés sur nos machines.
Mais cela était a prévoir, gros comme une patate ...

avatar C1rc3@0rc 16/01/2018 - 20:54

Bon il reste le monde du libre...
Linux et Raspberry Pi, ou xBSD. Pour l'instant helas il n'y a pas d'acces a des PC a processeur libre, mais qui sait.

avatar Jippi 16/01/2018 - 12:03

Ça me fait bien rire dans le coup, quand vous avez l'assistance Apple qui vous dit qu'un système de protection n'est pas nécessaire sur Mac et que c'est forcément ça qui ralenti le système ;-)

avatar A884126 16/01/2018 - 13:13 (edité)

Quelques firewall payants et gratuits, complexes et simples.

https://www.geckoandfly.com/18291/download-4-best-apple-firewall-for-mac...

avatar Moonwalker 16/01/2018 - 16:13

Drôle d’article.

Cela fait un moment que Little Snitch est passé à la version 4 et que Flashback a été neutralisé (on a vu pire depuis).

Les captures d’écran renvoient à un OS X plutôt ancien (Yosemite ?)

avatar A884126 16/01/2018 - 13:35

Néanmoins je ne suis pas sûr qu'un firewall soit la réponse pour empêcher une intrusion de type malware.

Je déconseillerai l'utilisation de Little Snitch ou d'un logiciel similaire.
Il est très douteux que les pare-feu offrent vraiment une sécurité supplémentaire. Au contraire, ils peuvent réellement ajouter des surfaces d'attaque au système.

Par exemple, l'année dernière sur le DEFCON, il y avait une présentation sur la façon dont un bug dans Little Snitch pouvait être utilisé par un logiciel malveillant pour obtenir des privilèges plus élevés:

https://www.theregister.co.uk/2016/08/03/mac_firewall_littlesnitch/

Si vous êtes intéressé par les détails, la présentation originale peut être trouvée :
https://speakerdeck.com/patrickwardle/defcon-2016-i-got-99-problems-but-...

Il a été également démontré que Little Snitch pouvait être facilement contourné par des logiciels malveillants. C'est un problème fondamental avec les pare-feu.
Si votre système a déjà été compromis par des logiciels malveillants, vous ne pouvez pas compter sur un logiciel fonctionnant sur ce système pour des raisons de sécurité.

avatar javascript 16/01/2018 - 15:09

merci de ton post, j'aime beaucoup, intéressent.

avatar Moonwalker 16/01/2018 - 16:16

Tu enfonces un peu des portes ouvertes.

Il n’y a aucune protection infaillible si on installe un malware soi-même. Il s’agit d’un programme qui va exécuter ce pour quoi il a été programmé, comme n’importe quelle application. La première faille est de se croire en sécurité contre tout.

Maintenant, tout est surface d’attaque. Le modem, le routeur, le Mac, etc. Et surtout l’interface entre la chaise et le clavier.

Little Snitch, ou autre comportait, comporte, des failles. Et alors ? Il y a toujours des failles. Il y en aura toujours. Dans tout, et dans macOS en premier.

Celles décrites dans tes articles de 2016 sont depuis longtemps comblées. L’auteur, Eric Wardle, (encore ?) le signale déjà dans le premier lien. Faille comblée avant même sa publication.

Par ailleurs, ces liens sont connus et on déjà été publiés de nombreuses fois sur le forum.

Je me pose donc la question : Pourquoi y revenir ?

Peut-être une réponse : Wardle=Objective-See : qui vient de sortir un concurrent à Little Snitch.

Maintenant, un problème avec ton discours.

Tu donnes deux liens qui parlent de la même chose. Des failles avérées et comblées. Ok.

Par contre, dans le paragraphe suivant, tu introduis une suspicion sans aucun élément de preuve :

« Il a été également démontré » Où et par qui ?
« Little Snitch pouvait être facilement contourné par des logiciels malveillants » Lesquels ?

Encore une fois, un logiciel malveillant est un logiciel qui exécute son programme, comme n’importe quelle application ouverte par l’utilisateur.

À partir du moment où il saisit son mot de passe administrateur, l’utilisateur ouvre grandes les portes de son système.

« Si votre système a déjà été compromis par des logiciels malveillants, vous ne pouvez pas compter sur un logiciel fonctionnant sur ce système pour des raisons de sécurité. »

Encore une porte ouverte. Si votre système a été compromis, il a été compromis dans son ensemble et puis c’est tout. C’est la question du comment qui est importante.

P.S. : sinon, dans le lien du DEFCON, regardez en bas de la page les autres présentations de Wardle, celles de 2017, très intéressantes.

avatar prommix 18/01/2018 - 07:26

Un outils mal utilisé peut devenir un objet dangereux. Little snitch reste une bonne solution pour contrôler facilement les communications entre un Mac et le réseau internet.

avatar Yoskiz 18/01/2018 - 11:49 via iGeneration pour iOS

@prommix

C’est vrai et cela permet à l’utilisateur de « voir » ce qu’il ne voit pas.
En plus c’est intéressant de visionner tout le trafic de son Mac je trouve.

Pages