OSX/MaMi, un malware à tout faire qui vise les Mac

Mickaël Bazoge |

Un nouveau malware visant macOS circule actuellement. D'abord repéré sur les forums de Malwarebytes puis analysé en détail par Patrick Wardle, OSX/MaMi modifie les réglages DNS sur les ordinateurs infectés. L'utilisateur des forums a constaté que sur le Mac d'un ami professeur, les adresses DNS avaient été changées (82.163.143.135 et 82.163.142.137). Même en les supprimant, celles-ci reviennent à la charge.

Cliquer pour agrandir

Ce malware installe en fait un certificat root qui lui permet de détourner les adresses DNS du Mac ; le petit malin a ensuite tout loisir de s'adonner à des attaques man-in-the-middle : vol d'identifiants, affichage inopiné de publicité, installation en douce de scripts de minage de cryptomonnaies…

OSX/MaMi est également susceptible de prendre des captures écran, simuler des actions avec le curseur de la souris, lancer un item, télécharger et téléverser des fichiers, exécuter des commandes. La plupart de ces méfaits ne sont cependant pas actifs dans la version 1.1.0 du malware en circulation.

Selon Patrick Wardle, ce malware n'est « pas particulièrement avancé », mais il peut altérer le système infecté d'une manière persistante et profonde. Le spécialiste ne sait pas dire comment l'infection se propage, mais il s'agit sans doute des vecteurs classiques : pièce-jointe dans un courriel, fausses fenêtres pop-up d'alerte, ingénierie sociale. Plus que jamais, la vigilance est de rigueur.

Pour savoir si son Mac est touché, rendez-vous dans les préférences système > Réseau > Avancé > DNS. Avec la publicité faite autour de ce nouveau malware, les outils de protection ne vont pas tarder à se mettre à jour. Patrick Wardle propose de son côté LuLu, un firewall open-source pour macOS en version alpha capable de bloquer les connexions sortantes inconnues.

avatar Frodon | 

Pas besoin d'aller chercher un firewall exotique en version alpha pour bloquer les connexions entrantes inconnues, LittleSnitch le fait depuis tres longtemps deja.

avatar AirForceTwo | 

@Frodon

Non, vous confondez. Little Snitch ne gère que les connexion sortantes.

avatar huexley | 

C'est une erreur dans l'article, Lulu gère bien les connexions sortantes comme LittleSnitch

"to block unknown outgoing connections"

avatar Stéphane Moussie | 
@huexley : c'est rectifié, merci.
avatar Moonwalker | 

Little Snitch gère les connexions entrantes et sortantes. Depuis la version 3 au moins.

avatar C1rc3@0rc | 

Il y a aussi Hands off http://www.oneperiodic.com/products/handsoff/ qui fait tres bien le travail.

Meme si les PDM du Mac ne progressent pas on va avoir invitablement de plus en plus de malware, surtout avec la multiplication des failles et bug qui pullulent tourjours plus dans les dernieres generations de MacOS. Le Mac sans virus et malware c'etait dans le passé, aujourd'hui un Mac est au moins aussi exposé qu'un PC Windows. Amere constatation, mais triste realité.

avatar C1rc3@0rc | 

Il y a aussi Hands off http://www.oneperiodic.com/products/handsoff/ qui fait tres bien le travail.

Meme si les PDM du Mac ne progressent pas on va avoir invitablement de plus en plus de malware, surtout avec la multiplication des failles et bug qui pullulent tourjours plus dans les dernieres generations de MacOS. Le Mac sans virus et malware c'etait dans le passé, aujourd'hui un Mac est au moins aussi exposé qu'un PC Windows. Amere constatation, mais triste realité.

avatar Pipes Chapman | 

c'est étonnant la perversion insidieuse de ce mec C1r3 bidule

ça laisse une impression de malsain ... on sent quelqu'un qui s'est bien fait flamer et qui ne peux quand même pas s'empêcher de distiller un venin qu'il a besoin de cracher pour on ne sait quelle insuffisance psychologique. brrrrr...

avatar irep | 

Little Snitch bloque aussi les entrantes

avatar Changi | 

Hand Off oui, pas Little Snitch.

avatar Moonwalker | 

Si, Little Snitch le fait.

incoming and outgoing connexions.

https://help.obdev.at/littlesnitch/#/ref-connections

avatar glaglasven | 

Et après on dit que Mac c'est sage ?

avatar Moonwalker | 

C’est l’utilisateur qui devrait faire preuve de sagesse, pas sa machine.

avatar javascript | 

dit donc personne n'ai d'accord sur les firewalls, en tout cas il y en a forcement qui écrivent sans savoir et disent de la merde !

avatar h-de-pierre | 

Et après MaMi , ce sera PaPi ?

avatar rikki finefleur | 

Il y a pas a dire l'informatique devient de plus en plus pourrie. Et une des raisons c'est que chaque grand editeur créé son petit programme (bien buggé) et nouveauté , te force a te faire des upgrades non désirés, cela concerne MS , apple qu'intel et bien d' autres..
Et avec cet enfoiré de cloud il te laisse plus le choix . Beurk.

C'est l'emprise de constructeurs buggés sur nos machines.
Mais cela était a prévoir, gros comme une patate ...

avatar C1rc3@0rc | 

Bon il reste le monde du libre...
Linux et Raspberry Pi, ou xBSD. Pour l'instant helas il n'y a pas d'acces a des PC a processeur libre, mais qui sait.

avatar Jippi | 

Ça me fait bien rire dans le coup, quand vous avez l'assistance Apple qui vous dit qu'un système de protection n'est pas nécessaire sur Mac et que c'est forcément ça qui ralenti le système ;-)

avatar A884126 | 
avatar Moonwalker | 

Drôle d’article.

Cela fait un moment que Little Snitch est passé à la version 4 et que Flashback a été neutralisé (on a vu pire depuis).

Les captures d’écran renvoient à un OS X plutôt ancien (Yosemite ?)

avatar A884126 | 

Néanmoins je ne suis pas sûr qu'un firewall soit la réponse pour empêcher une intrusion de type malware.

Je déconseillerai l'utilisation de Little Snitch ou d'un logiciel similaire.
Il est très douteux que les pare-feu offrent vraiment une sécurité supplémentaire. Au contraire, ils peuvent réellement ajouter des surfaces d'attaque au système.

Par exemple, l'année dernière sur le DEFCON, il y avait une présentation sur la façon dont un bug dans Little Snitch pouvait être utilisé par un logiciel malveillant pour obtenir des privilèges plus élevés:

https://www.theregister.co.uk/2016/08/03/mac_firewall_littlesnitch/

Si vous êtes intéressé par les détails, la présentation originale peut être trouvée :
https://speakerdeck.com/patrickwardle/defcon-2016-i-got-99-problems-but-little-snitch-aint-one

Il a été également démontré que Little Snitch pouvait être facilement contourné par des logiciels malveillants. C'est un problème fondamental avec les pare-feu.
Si votre système a déjà été compromis par des logiciels malveillants, vous ne pouvez pas compter sur un logiciel fonctionnant sur ce système pour des raisons de sécurité.

avatar javascript | 

merci de ton post, j'aime beaucoup, intéressent.

avatar Moonwalker | 

Tu enfonces un peu des portes ouvertes.

Il n’y a aucune protection infaillible si on installe un malware soi-même. Il s’agit d’un programme qui va exécuter ce pour quoi il a été programmé, comme n’importe quelle application. La première faille est de se croire en sécurité contre tout.

Maintenant, tout est surface d’attaque. Le modem, le routeur, le Mac, etc. Et surtout l’interface entre la chaise et le clavier.

Little Snitch, ou autre comportait, comporte, des failles. Et alors ? Il y a toujours des failles. Il y en aura toujours. Dans tout, et dans macOS en premier.

Celles décrites dans tes articles de 2016 sont depuis longtemps comblées. L’auteur, Eric Wardle, (encore ?) le signale déjà dans le premier lien. Faille comblée avant même sa publication.

Par ailleurs, ces liens sont connus et on déjà été publiés de nombreuses fois sur le forum.

Je me pose donc la question : Pourquoi y revenir ?

Peut-être une réponse : Wardle=Objective-See : qui vient de sortir un concurrent à Little Snitch.

Maintenant, un problème avec ton discours.

Tu donnes deux liens qui parlent de la même chose. Des failles avérées et comblées. Ok.

Par contre, dans le paragraphe suivant, tu introduis une suspicion sans aucun élément de preuve :

« Il a été également démontré » Où et par qui ?
« Little Snitch pouvait être facilement contourné par des logiciels malveillants » Lesquels ?

Encore une fois, un logiciel malveillant est un logiciel qui exécute son programme, comme n’importe quelle application ouverte par l’utilisateur.

À partir du moment où il saisit son mot de passe administrateur, l’utilisateur ouvre grandes les portes de son système.

« Si votre système a déjà été compromis par des logiciels malveillants, vous ne pouvez pas compter sur un logiciel fonctionnant sur ce système pour des raisons de sécurité. »

Encore une porte ouverte. Si votre système a été compromis, il a été compromis dans son ensemble et puis c’est tout. C’est la question du comment qui est importante.

P.S. : sinon, dans le lien du DEFCON, regardez en bas de la page les autres présentations de Wardle, celles de 2017, très intéressantes.

avatar prommix | 

Un outils mal utilisé peut devenir un objet dangereux. Little snitch reste une bonne solution pour contrôler facilement les communications entre un Mac et le réseau internet.

avatar Yoskiz (non vérifié) | 

@prommix

C’est vrai et cela permet à l’utilisateur de « voir » ce qu’il ne voit pas.
En plus c’est intéressant de visionner tout le trafic de son Mac je trouve.

avatar Moonwalker | 

« Le spécialiste ne sait pas dire comment l'infection se propage »

C’est pourtant le plus important.

Y’a pas que moi qui le dit, c’est aussi l’avis de Thomas Redd (Malwarebytes) :
https://forums.malwarebytes.com/topic/218198-dns-hijacked/

On ne sait ni quel système, ni dans quelles circonstances.

avatar A884126 | 

Je ne me suis jamais défini comme un spécialiste, contrairement à vous qui semble toujours avoir un avis sur tout avec une attitude critique voir virulente lorsque quelqu'un poste un avis avec lequel vous n'êtes pas d'accord. La dialectique vous semble inconnue mais la critique, facile, sans aucun apport à l'édifice.

Si vous avez une revanche à prendre contre la vie, gérer vos baguages.
Si vous avez (encore ?) un problème avec Eric Wardle et Synack, voyez directement avec lui.

http://www.securityweek.com/little-snitch-flaw-exposed-mac-systems-attacks

Je retourne vaquer à mes occupations et me retire de cette conversation déjà pénible.

avatar Moonwalker | 

Concernant « spécialiste » je parlais de Eric Wardle. Il est un spécialiste en sécurité, c’est du moins ainsi qu’il se présente, et ses présentations au DEFCON sont là pour l’attester si besoin. [Encore une fois, regardez celles de 2017 plutôt que les vieux trucs de 2016.]

Je déplore que pour l’instant nous ne savons rien de ce « malware » et du comment il peut s’installer aussi profondément dans le système. En tant qu’utilisateur, c’est ce qui me semble le plus important.

Je n’ai pas tant critiqué que développé ce que tu disais.

Pour le reste, je n’ai pas de leçon de dialectique à recevoir d’un type qui esquive le débat.

Encore un lien de 2016 ? Sur le même sujet ?

Si tu as la même attitude avec les laitages, je ne voudrais pas explorer ton frigo.

avatar Moonwalker | 

Plus de détails concernant cet OSX/MaMi sur le blog d’Intego.

https://www.intego.com/mac-security-blog/ay-mami-new-dns-hijacking-mac-malware-discovered/

Où on apprend qu’il s’agirait de la version Mac d’un vieux routier du monde Windows DNSUnlocker. Les pistes conduisent en Ukraine et en Israel mais sans relations clairement établies.

Il ne devrait d’ailleurs pas se contenter de changer les adresses DNS mais également être capable d’exécuter du code AppleScript, simuler des clics souris, prendre des captures d’écran. Néanmoins, il ne semble pas avoir été complété en ce sens.

Le malware fut repéré une première fois en novembre 2017.

avatar A884126 | 

"Here's what the old-school computer viruses from the '80s and '90s looked like. "

That is pretty cool data. Sure is interesting to see what a virus can do to a main board.

http://www.businessinsider.fr/us/what-computer-viruses-looked-like-in-the-80s-and-90s-2016-2/

CONNEXION UTILISATEUR