On croyait s'être défait du Cheval de Troie DevilRobber.A depuis qu'Apple a mis à jour XProtect (lire DevilRobber.A ne fait plus peur à Mac OS X), mais son innocuité n'aura été que de courte durée puisqu'une nouvelle version rôde sur les réseaux d'échange de fichier.

Les chercheurs de F-Secure ont en effet repéré une troisième version du Cheval de Troie. Celle-ci n'intègre pas les données à installer, mais les télécharge depuis un FTP. En revanche, elle ne vérifie pas la présence préalable de Little Snitch, qui peut donc vous alerter en cas d'activité suspecte, et ne prend plus de capture d'écran. Cependant elle récupère l'historique des commandes du terminal, les fichiers log du système, et les contenus de 1Password, qui centralise des données souvent sensibles pour les utilisateurs. Elle intègre toujours la capacité de voler l'argent stocké en devise virtuelle Bitcoin (dont les serveurs ont par ailleurs été hackés en juin).

Rappelons que la méthode de propagation de ce malware est de reposer sur la confiance aveugle des utilisateurs qui l'installent d'eux-mêmes, en se faisant passer pour autre chose (en l'occurrence un faux Pixelmator, distribué sur les réseaux de partage illégal). Voilà une motivation supplémentaire à ne pas pirater de logiciels, s'il en fallait, et à préférer les canaux de distribution officiels et de confiance.

SophosLabs a détecté une variante du cheval de Troie DarkComet RT pour Mac. Selon la société de sécurité, ce trojan est encore en plein développement et ne devrait donc pas être déployé immédiatement.




Pour l'instant, la déclinaison de DarkComet RT, qui se nomme OSX/MusMinim-A., permet sur un Mac infecté de placer des fichiers texte sur le bureau, de redémarrer, d'éteindre ou de mettre en veille l'ordinateur, d'exécuter des commandes shell, d'afficher un message en plein écran invitant l'utilisateur à redémarrer, d'envoyer une URL au client ou encore d'afficher une fausse fenêtre d'authentification afin d'obtenir le mot de passe de l'administrateur.



DarkComet RT est un cheval de Troie très connu sur Windows. Doit-on y voir un signe d'un intérêt grandissant de notre plate-forme pour les hackers ? SophosLabs s'attend à ce que OSX/MusMinim-A soit surtout présent sur les sites de torrent ainsi que sur les sites proposant au téléchargement des logiciels piratés.

Apple a ajouté une troisième définition de logiciel malveillant au détecteur intégré dans Snow Leopard. Depuis cette version, Mac OS X s'est doté d'un outil pour repérer de telles nuisances. La collection d'importuns capables d'être interceptés par le système est réduite, elle était de deux, elle est passée à trois après la mise à jour 10.6.4


Intego avait le premier identifié cet intrus en avril dernier, baptisé HellRTS. C'est cette référence que l'on trouve dans le fichier des définitions de Mac OS X (situé ici : System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist).

Ce malware, une fois en place sur la machine, peut émettre des courriers avec son propre serveur de mail, contacter un serveur distant, ses dupliquer, se lancer au démarrage, éteindre la machine, activer le partage d'écran, etc.

Toutefois, Intego dit ne pas avoir observé d'utilisations de ce logiciel, au-delà d'une distribution sur les forums spécialisés. Apple a néanmoins choisi apparemment de prémunir son système de ses éventuels agissements.

Sur le même sujet :
De nouveaux détails sur l'antivirus de Snow Leopard
Snow Leopard a bien un anti-virus intégré

Les dangers du jeu seraient multiples, et l'éditeur de logiciels de sécurité Symantec en a trouvé un nouveau pour les Mac : un cheval de Troie déguisé en jeu vidéo s'attaquerait à nos machines. Ce trojan, baptisé OSX.Loosemaque, ressemble à un jeu du type Space Invaders. Mais à chaque fois que vous détruisez un ennemi, c'est un fichier de votre ordinateur qui est supprimé.


Selon le développeur de ce logiciel, sa démarche est « artistique », chaque vaisseau alien représentant un de vos fichiers. Si vous perdez en ne détruisant aucun vaisseau et donc aucun de vos fichiers, le jeu devrait même se supprimer lui-même, même s'il semble qui crashe à cette étape. Sur son site, le créateur de ce logiciel indique précisément que son jeu détruit vos fichiers.

Mais comme rien n'empêcherait un petit malin de reprendre ce code pour en faire un outil plus ouvertement malsain, Symantec a préféré le classer comme cheval de Troie. La démarche, assez nouvelle, permet de rappeler encore une fois à quel point il est important de ne pas télécharger n'importe quoi n'importe où.

...mais plus sûr, c'est, en substance, le discours du spécialiste de la sécurité informatique Charles Miller.

Selon lui, même si Snow Leopard inclut quelques améliorations du côté de la sécurité (comme le système de détection de malwares), il lui manque encore quelques composants clefs, comme le support complet de la randomisation de l'espace d'adressage (Adress Space Layout Randomization), ce système plaçant des données de façon aléatoire dans la mémoire virtuelle, ce qui minimise les attaques se basant sur des structures fixes.

Il reconnaît qu'Apple fait des progrès de ce côté, par le passage au 64 bits, mais aussi par des systèmes prévenant les attaques par corruption de la mémoire, ou par dépassement de tampon (cf. la page sécurité du site d'Apple). Mais le système anti-malware, par exemple, n'est capable de reconnaître que deux types de troyens, qui restent la plus grande menace pour les utilisateurs de Mac OS X (lire : Intego réagit à l'anti-virus d'Apple).

Pour Miller, la meilleure protection d'Apple est encore la faible part de marché de son système d'exploitation, qui rend l'investissement difficilement rentable pour les hackers de tout poil. Donc même si Mac OS X est moins sécurisé que Windows, il reste plus sûr.

Le spécialiste de la sécurité continue en expliquant que la préoccupation nouvelle d'Apple pour la sécurité est clairement un pas dans la bonne direction : "si leur part de marché continue à augmenter, ils deviendront alors une cible de plus en plus intéressante". La preuve ? S'il y a deux ans, aucun malware n'avait été conçu contre le Mac, l'an dernier, l'expert en sécurité John Viega a recensé quelques centaines de cas, à comparer à la masse globale d'1.8 million de logiciels malveillants conçus au total (ce qui inclut toutes les variantes possibles d'un logiciel exploitant une même faille).


Mais les troyens, puis plus tard peut-être les premiers virus sur Mac (s'installant cette fois sans intervention de l'utilisateur, alors que la plupart des logiciels malveillants dépistés sur Mac sont installés par l'utilisateur, souvent en téléchargeant illégalement un logiciel craqué) ne sont que la partie émergée de l'iceberg : la plus grande menace n'est pas spécifique au Mac, mais touche tous les ordinateurs se connectant à Internet, au Web et aux e-mails : phishing, spam, et consors. De ce côté-là aussi, Apple a engagé les premiers pas, en dotant par exemple Safari d'un système anti-phishing.

Miller regrette simplement le discours marketing d'Apple sur la question. Il semble que plus que jamais, la sensibilisation des utilisateurs soit la clef de la sécurité, sur Mac comme ailleurs. On ne pourra que lui donner raison, en rappelant encore une fois que s'il n'y a toujours pas eu de virus sur Mac OS X (et les virus en général se font plus rares), les troyens commencent à se multiplier… et ce sont les utilisateurs qui sont responsables de leur infection.

Après Photoshop CS4 et iWork '09 (lire : iWork'09 piraté et doté d'un cheval de Troie), c'est au tour de Snow Leopard d'être décliné dans une version spéciale qui comprend en "bonus" un malware.

Apparemment, certains sites proposent de télécharger gratuitement Snow Leopard. Mais la version en question contiendrait avant tout un cheval de Troie de la famille JOSX_JAHLAV. Ce dernier installe un script qui modifie en douce vos serveurs DNS, afin de vous rediriger vers des sites Internet frauduleux contenant des codes malicieux ou des menaces de phishing. Le script en question s'exécute toutes les 5 minutes.

Cette menace est qualifiée de faible par Trend Micro, qui est à l'origine de cette découverte. Reste à savoir si Apple mettra à jour son "antivirus " dans Snow Leopard pour prendre en compte cette menace et si oui, quand (pour en savoir plus, lire : Snow Leopard a bien un anti-virus intégré).

La nouvelle version 10.6 de Mac OS X sait maintenant repérer la présence de logiciels malveillants dans les fichiers téléchargés depuis Internet, reçus par mail ou par messagerie instantannée. On a pu le vérifier avec une archive dont le titre laissait entendre qu'elle contenait des économiseurs d'écran de Windows Vista et dont l'installeur évoquait, lui, un logiciel "MacCinema". Aussitôt récupérée, dès que l'on ouvre cette archive pour accéder à l'installeur, Snow Leopard affiche un message d'alerte enjoignant de se méfier de son contenu et en citant nommément le malware inclut.

>> Lire la suite

Nous vous avions signalé au mois de janvier l'existence d'un cheval de Troie distribué dans des copies pirates de Photoshop CS4 et iWork'09 (voir les articles iWork'09 piraté et doté d'un cheval de Troie et iServices : le cheval de Troie s'exporte).

Le malware fait à nouveau parler de lui : CBC News rapporte que deux chercheurs de Symantec Irlande, Mario Barcena et Alfredo Pesoli, ont publié un article dans le numéro d'avril du Virus Bulletin, dans lequel ils indiquent que le vilain canasson a été activé durant le mois de janvier pour transformer les Macs contaminés en "zombies" afin de lancer une attaque de type déni de service sur un site web.

Si c'est le premier cas recensé de "botnet" sur Mac OS X, l'événement n'a pas pour autant de quoi défrayer la chronique, et les chercheurs de Symantec relativisent la portée de l'incident : les attaques DoS n'ont de sens qu'à partir du moment où il y a suffisamment de machines infectées pour mettre un serveur à genoux, et l'opération a donc bien plus de chances de succès du côté Windows que du côté Mac.

Le blog de McAfee va dans ce sens : si l'infection du Mac de cette manière est une première, elle n'a rien de bien original, et le cheval de Troie est relativement simple à identifier et à supprimer. Et de rappeler que le mode de distribution (via des logiciels piratés) devrait être une raison supplémentaire de se comporter honnêtement, sans oublier d'ajouter que les logiciels de sécurité sont nécessaires quelle que soit la plate-forme.

En fin de semaine dernière, nous évoquions "OSX.Trojan.iServices.A", un trojan qui avait trouvé refuge sur certaines archives d'iWork'09 qui circulaient sur les réseaux P2P. Ce dernier se cache désormais dans certaines archives piratées de Photoshop CS4. Le cheval de Troie réside en fait dans l'application permettant de craquer le logiciel d'Adobe.


Mais le trojan inclus dans l'archive de Photoshop est un peu plus sophistiqué que le précédent. Il est capable de changer de nom afin d'être plus difficile à repérer. Le but de ce cheval de Troie est similaire au précédent : s'attaquer à des sites internet afin de provoquer des dénis de service.

L'archive en question aurait déjà été téléchargée plus de 5000 fois.

[MAJ] SecureMac a mis à jour son utilitaire gratuit [1.1 - 520 Ko - US] permettant de supprimer "OSX.Trojan.iServices.A".

Sur le même sujet :
- iWork'09 piraté et doté d'un cheval de Troie

Intego affirme avoir détecté un cheval de Troie au sein de copies piratées, mais fonctionnelles d'iWork'09. Des copies en circulation sur les réseaux P2P. Cet intrus, baptisé "OSX.Trojan.iServices.A" par l'éditeur d'anti-virus, s'installe automatiquement, dans la foulée de la suite bureautique d'Apple.

Un élément "iWorkServices" serait alors placé dans le dossier de démarrage Système explique le communiqué d'Intego : /System/Bibliothèque/StartupItems/iWorkServices. Ce cheval de Troie serait doté de droits en lecture, écriture et exécution d'applications au niveau root.

Une fois à sa place il se connecterait à un serveur pour signaler sa présence et attendre d'éventuelles consignes. Intego précise avoir actualisé les fichiers de définition de ses anti-virus en conséquence et définit cette menace comme "sérieuse".

C'est ce qu'on appelle une heureuse coïncidence, le jour même où Intego prévenait de sa participation au Macworld Expo de San Francisco (janvier) avec les versions 2009 de ses antivirus, l'éditeur annonçait deux heures plus tard la découverte d'un cheval de Troie sur Mac.

Baptisé OSX.RSPlug.D et crédité d'un niveau de risque "moyen" il s'agirait d'une variante d'un précédent troyen (voir l'article Cheval de Troie : Intego sonne l'alerte).

Comme son prédécesseur il fait son lit des sites pornographiques où il propose au visiteur de télécharger un codec nécessaire à la lecture des vidéos. Si l'on confirme, une image disque est téléchargée et s'ouvrira automatiquement (option débrayable dans le panneau "Général" des préférences de Safari) puis démarrera son exécution. Avec comme objectif de permettre la récupération distante et discrète de fichiers qu'il installera sur la machine.

Le système est conçu pour n'offrir comme seuls choix à l'utilisateur de télécharger ce faux codec ou de s'en aller du site en fermant son navigateur. Intego indique avoir mis à jour les définitions de ses antivirus pour repérer ce type de cheval de Troie. En l'absence d'utilitaire spécialisé, faire carême des visites sur ces sites ou s'y rendre les yeux ouverts encore plus grands que d'habitude sont aussi des options.