OSX/MaMi, un malware à tout faire qui vise les Mac
Un nouveau malware visant macOS circule actuellement. D'abord repéré sur les forums de Malwarebytes puis analysé en détail par Patrick Wardle, OSX/MaMi modifie les réglages DNS sur les ordinateurs infectés. L'utilisateur des forums a constaté que sur le Mac d'un ami professeur, les adresses DNS avaient été changées (82.163.143.135 et 82.163.142.137). Même en les supprimant, celles-ci reviennent à la charge.
Ce malware installe en fait un certificat root qui lui permet de détourner les adresses DNS du Mac ; le petit malin a ensuite tout loisir de s'adonner à des attaques man-in-the-middle : vol d'identifiants, affichage inopiné de publicité, installation en douce de scripts de minage de cryptomonnaies…
OSX/MaMi est également susceptible de prendre des captures écran, simuler des actions avec le curseur de la souris, lancer un item, télécharger et téléverser des fichiers, exécuter des commandes. La plupart de ces méfaits ne sont cependant pas actifs dans la version 1.1.0 du malware en circulation.
Selon Patrick Wardle, ce malware n'est « pas particulièrement avancé », mais il peut altérer le système infecté d'une manière persistante et profonde. Le spécialiste ne sait pas dire comment l'infection se propage, mais il s'agit sans doute des vecteurs classiques : pièce-jointe dans un courriel, fausses fenêtres pop-up d'alerte, ingénierie sociale. Plus que jamais, la vigilance est de rigueur.
Pour savoir si son Mac est touché, rendez-vous dans les préférences système > Réseau > Avancé > DNS. Avec la publicité faite autour de ce nouveau malware, les outils de protection ne vont pas tarder à se mettre à jour. Patrick Wardle propose de son côté LuLu, un firewall open-source pour macOS en version alpha capable de bloquer les connexions sortantes inconnues.
Pas besoin d'aller chercher un firewall exotique en version alpha pour bloquer les connexions entrantes inconnues, LittleSnitch le fait depuis tres longtemps deja.
@Frodon
Non, vous confondez. Little Snitch ne gère que les connexion sortantes.
C'est une erreur dans l'article, Lulu gère bien les connexions sortantes comme LittleSnitch
"to block unknown outgoing connections"
Little Snitch gère les connexions entrantes et sortantes. Depuis la version 3 au moins.
Il y a aussi Hands off http://www.oneperiodic.com/products/handsoff/ qui fait tres bien le travail.
Meme si les PDM du Mac ne progressent pas on va avoir invitablement de plus en plus de malware, surtout avec la multiplication des failles et bug qui pullulent tourjours plus dans les dernieres generations de MacOS. Le Mac sans virus et malware c'etait dans le passé, aujourd'hui un Mac est au moins aussi exposé qu'un PC Windows. Amere constatation, mais triste realité.
Il y a aussi Hands off http://www.oneperiodic.com/products/handsoff/ qui fait tres bien le travail.
Meme si les PDM du Mac ne progressent pas on va avoir invitablement de plus en plus de malware, surtout avec la multiplication des failles et bug qui pullulent tourjours plus dans les dernieres generations de MacOS. Le Mac sans virus et malware c'etait dans le passé, aujourd'hui un Mac est au moins aussi exposé qu'un PC Windows. Amere constatation, mais triste realité.
c'est étonnant la perversion insidieuse de ce mec C1r3 bidule
ça laisse une impression de malsain ... on sent quelqu'un qui s'est bien fait flamer et qui ne peux quand même pas s'empêcher de distiller un venin qu'il a besoin de cracher pour on ne sait quelle insuffisance psychologique. brrrrr...
Little Snitch bloque aussi les entrantes
Hand Off oui, pas Little Snitch.
Si, Little Snitch le fait.
incoming and outgoing connexions.
https://help.obdev.at/littlesnitch/#/ref-connections
Et après on dit que Mac c'est sage ?
C’est l’utilisateur qui devrait faire preuve de sagesse, pas sa machine.
dit donc personne n'ai d'accord sur les firewalls, en tout cas il y en a forcement qui écrivent sans savoir et disent de la merde !
Et après MaMi , ce sera PaPi ?
Il y a pas a dire l'informatique devient de plus en plus pourrie. Et une des raisons c'est que chaque grand editeur créé son petit programme (bien buggé) et nouveauté , te force a te faire des upgrades non désirés, cela concerne MS , apple qu'intel et bien d' autres..
Et avec cet enfoiré de cloud il te laisse plus le choix . Beurk.
C'est l'emprise de constructeurs buggés sur nos machines.
Mais cela était a prévoir, gros comme une patate ...
Bon il reste le monde du libre...
Linux et Raspberry Pi, ou xBSD. Pour l'instant helas il n'y a pas d'acces a des PC a processeur libre, mais qui sait.
Ça me fait bien rire dans le coup, quand vous avez l'assistance Apple qui vous dit qu'un système de protection n'est pas nécessaire sur Mac et que c'est forcément ça qui ralenti le système ;-)
Quelques firewall payants et gratuits, complexes et simples.
https://www.geckoandfly.com/18291/download-4-best-apple-firewall-for-mac...
Drôle d’article.
Cela fait un moment que Little Snitch est passé à la version 4 et que Flashback a été neutralisé (on a vu pire depuis).
Les captures d’écran renvoient à un OS X plutôt ancien (Yosemite ?)
Néanmoins je ne suis pas sûr qu'un firewall soit la réponse pour empêcher une intrusion de type malware.
Je déconseillerai l'utilisation de Little Snitch ou d'un logiciel similaire.
Il est très douteux que les pare-feu offrent vraiment une sécurité supplémentaire. Au contraire, ils peuvent réellement ajouter des surfaces d'attaque au système.
Par exemple, l'année dernière sur le DEFCON, il y avait une présentation sur la façon dont un bug dans Little Snitch pouvait être utilisé par un logiciel malveillant pour obtenir des privilèges plus élevés:
https://www.theregister.co.uk/2016/08/03/mac_firewall_littlesnitch/
Si vous êtes intéressé par les détails, la présentation originale peut être trouvée :
https://speakerdeck.com/patrickwardle/defcon-2016-i-got-99-problems-but-...
Il a été également démontré que Little Snitch pouvait être facilement contourné par des logiciels malveillants. C'est un problème fondamental avec les pare-feu.
Si votre système a déjà été compromis par des logiciels malveillants, vous ne pouvez pas compter sur un logiciel fonctionnant sur ce système pour des raisons de sécurité.
merci de ton post, j'aime beaucoup, intéressent.
Tu enfonces un peu des portes ouvertes.
Il n’y a aucune protection infaillible si on installe un malware soi-même. Il s’agit d’un programme qui va exécuter ce pour quoi il a été programmé, comme n’importe quelle application. La première faille est de se croire en sécurité contre tout.
Maintenant, tout est surface d’attaque. Le modem, le routeur, le Mac, etc. Et surtout l’interface entre la chaise et le clavier.
Little Snitch, ou autre comportait, comporte, des failles. Et alors ? Il y a toujours des failles. Il y en aura toujours. Dans tout, et dans macOS en premier.
Celles décrites dans tes articles de 2016 sont depuis longtemps comblées. L’auteur, Eric Wardle, (encore ?) le signale déjà dans le premier lien. Faille comblée avant même sa publication.
Par ailleurs, ces liens sont connus et on déjà été publiés de nombreuses fois sur le forum.
Je me pose donc la question : Pourquoi y revenir ?
Peut-être une réponse : Wardle=Objective-See : qui vient de sortir un concurrent à Little Snitch.
Maintenant, un problème avec ton discours.
Tu donnes deux liens qui parlent de la même chose. Des failles avérées et comblées. Ok.
Par contre, dans le paragraphe suivant, tu introduis une suspicion sans aucun élément de preuve :
« Il a été également démontré » Où et par qui ?
« Little Snitch pouvait être facilement contourné par des logiciels malveillants » Lesquels ?
Encore une fois, un logiciel malveillant est un logiciel qui exécute son programme, comme n’importe quelle application ouverte par l’utilisateur.
À partir du moment où il saisit son mot de passe administrateur, l’utilisateur ouvre grandes les portes de son système.
« Si votre système a déjà été compromis par des logiciels malveillants, vous ne pouvez pas compter sur un logiciel fonctionnant sur ce système pour des raisons de sécurité. »
Encore une porte ouverte. Si votre système a été compromis, il a été compromis dans son ensemble et puis c’est tout. C’est la question du comment qui est importante.
P.S. : sinon, dans le lien du DEFCON, regardez en bas de la page les autres présentations de Wardle, celles de 2017, très intéressantes.
Un outils mal utilisé peut devenir un objet dangereux. Little snitch reste une bonne solution pour contrôler facilement les communications entre un Mac et le réseau internet.
@prommix
C’est vrai et cela permet à l’utilisateur de « voir » ce qu’il ne voit pas.
En plus c’est intéressant de visionner tout le trafic de son Mac je trouve.
Pages